A política de segurança da sua empresa pode exigir que você substitua o certificado SSL ESXi padrão por um certificado assinado por uma autoridade de certificação de terceiros em cada host.

Por padrão, os componentes do vSphere usam o certificado e a chave assinados pela VMCA que são criados durante a instalação. Se você excluir acidentalmente o certificado assinado pela VMCA, remova o host do sistema vCenter Server e adicione-o novamente. Quando você adiciona o host, vCenter Server solicita um novo certificado da VMCA e provisiona o host com ele.

Substitua os certificados assinados pela VMCA por certificados de uma CA confiável, uma CA comercial ou uma CA organizacional, se a política da sua empresa exigir.

Você pode substituir os certificados padrão por certificados confiáveis de várias maneiras.

Observação: Você também pode usar os objetos gerenciados vim.CertificateManager e vim.host.CertificateManager no vSphere Web Services SDK. Consulte a documentação do vSphere Web Services SDK.

Depois de substituir o certificado, você precisa atualizar o armazenamento TRUSTED_ROOTS no VECS no sistema vCenter Server que gerencia o host para garantir que o host vCenter Server e o ESXi tenham uma relação de confiança.

Para obter instruções detalhadas sobre como usar certificados assinados por CA para hosts ESXi, consulte ESXi Fluxos de trabalho do interruptor de modo de certificado.

Observação: Se você estiver substituindo certificados SSL em um host ESXi que faz parte de um cluster vSAN, siga as etapas que estão no artigo da base de conhecimento VMware em https://kb.vmware.com/s/article/56441.

Requisitos para ESXi Solicitações de Assinatura de Certificado

Se você quiser usar um certificado assinado por uma autoridade de certificação corporativa ou de terceiros, ou um certificado assinado por uma autoridade de certificação subordinada, deverá enviar uma solicitação de assinatura de certificado (CSR) à autoridade de certificação.

Use um CSR com estas características:

  • Tamanho da chave: 2.048 bits (mínimo) a 16.384 bits (máximo) (codificado por PEM)
  • Formato PEM. VMware é compatível com PKCS8 e PKCS1 (chaves RSA). Quando chaves são adicionadas ao VECS, elas são convertidas em PKCS8.
  • x509 versão 3
  • Para certificados raiz, a extensão de CA deve ser definida como true e o sinal de certificado deve estar na lista de requisitos.
  • SubjectAltName deve conter Nome DNS=<machine_FQDN>.
  • Formato CRT
  • Contém os seguintes usos de chave: assinatura digital, criptografia de chave
  • Hora de início de um dia antes da hora atual.
  • CN (e SubjectAltName) definido como o nome do host (ou endereço IP) que o host ESXi tem no inventário vCenter Server.
Observação: O certificado FIPS de vSphere só valida os tamanhos de chave RSA de 2048 e 3072. Consulte Considerações ao usar o FIPS.
vSphere não é compatível com os certificados a seguir.
  • Certificados com curingas.
  • Não há suporte para os algoritmos md2WithRSAEncryption, md5WithRSAEncryption, RSASSA-PSS, dsaWithSHA1, ecdsa_with_SHA1 e sha1WithRSAEncryption.

Para obter informações sobre como gerar a CSR, consulte o artigo da base de conhecimento VMware em https://kb.vmware.com/s/article/2113926.

Substitua o certificado e a chave padrão do ESXi Shell

Você pode substituir os certificados padrão ESXi assinados pela VMCA do arquivo ESXi Shell.

Pré-requisitos

  • Se você quiser usar certificados assinados por uma autoridade de certificação de terceiros, gere a solicitação de certificado, envie-a para a autoridade de certificação e armazene os certificados em cada host ESXi.
  • Se necessário, ative o ESXi Shell ou ative o tráfego SSH do vSphere Client.
  • Todas as transferências de arquivos e outras comunicações ocorrem em uma sessão HTTPS segura. O usuário usado para autenticar a sessão deve ter o privilégio Host.Config.AdvancedConfig no host.

Procedimento

  1. Faça login no ESXi Shell, diretamente do DCUI ou de um cliente SSH, como um usuário com privilégios de administrador.
  2. No diretório /etc/vmware/ssl, renomeie os certificados existentes usando os comandos a seguir. 
    mv rui.crt orig.rui.crt
mv rui.key orig.rui.key
  3. Copie os certificados que você deseja usar para /etc/vmware/ssl.
  4. Renomeie o novo certificado e a chave para rui.crt e rui.key.
  5. Reinicie o host depois de instalar o novo certificado.
    Como alternativa, você pode colocar o host no modo de manutenção, instalar o novo certificado, usar a Interface do Usuário do Console Direto (DCUI) para reiniciar os agentes de gerenciamento e definir o host para sair do modo de manutenção.

O que Fazer Depois

Atualize o repositório vCenter Server TRUSTED_ROOTS. Consulte Atualizar o repositório vCenter Server TRUSTED_ROOTS (certificados personalizados).

Substituir um certificado padrão usando HTTPS PUT

Você pode usar aplicativos de terceiros para carregar certificados e chaves. Os aplicativos que oferecem suporte a operações HTTPS PUT funcionam com a interface HTTPS incluída em ESXi.

Pré-requisitos

  • Se você quiser usar certificados assinados por uma autoridade de certificação de terceiros, gere a solicitação de certificado, envie-a para a autoridade de certificação e armazene os certificados em cada host ESXi.
  • Se necessário, ative o ESXi Shell ou ative o tráfego SSH do vSphere Client.
  • Todas as transferências de arquivos e outras comunicações ocorrem em uma sessão HTTPS segura. O usuário usado para autenticar a sessão deve ter o privilégio Host.Config.AdvancedConfig no host.

Procedimento

  1. Faça backup dos certificados existentes.
  2. No seu aplicativo de carregamento, processe cada arquivo da seguinte forma:
    1. Abra o arquivo.
    2. Publique o arquivo em um desses locais.
      Opção Descrição
      Certificados https://hostname/host/ssl_cert
      Chaves https://hostname/host/ssl_key
    Os locais /host/ssl_cert e host/ssl_key são vinculados aos arquivos de certificado em /etc/vmware/ssl.
  3. Reinicie o host.
    Como alternativa, você pode colocar o host no modo de manutenção, instalar o novo certificado, usar a Interface do Usuário do Console Direto (DCUI) para reiniciar os agentes de gerenciamento e definir o host para sair do modo de manutenção.

O que Fazer Depois

Atualize o repositório vCenter Server TRUSTED_ROOTS. Consulte Atualizar o repositório vCenter Server TRUSTED_ROOTS (certificados personalizados).

Atualizar o repositório vCenter Server TRUSTED_ROOTS (certificados personalizados)

Se você configurar seus hosts ESXi para usar certificados personalizados, deverá atualizar o repositório TRUSTED_ROOTS no sistema vCenter Server que gerencia os hosts.

Pré-requisitos

Substitua os certificados em cada host por certificados personalizados.

Observação: Essa etapa não será necessária se o sistema vCenter Server também estiver em execução com certificados personalizados emitidos pela mesma CA que os instalados nos hosts ESXi.

Procedimento

  1. Faça login no shell vCenter Server do sistema vCenter Server que gerencia os hosts ESXi.
  2. Para adicionar os novos certificados ao repositório TRUSTED_ROOTS, execute dir-cli, por exemplo: 
    /usr/lib/vmware-vmafd/bin/dir-cli trustedcert publish --cert path_to_RootCA
  3. Quando solicitado, forneça as credenciais de Administrador de Single Sign-On.
  4. Se seus certificados personalizados forem emitidos por uma CA intermediária, você também deverá adicionar a CA intermediária ao repositório TRUSTED_ROOTS no vCenter Server, por exemplo: 
    /usr/lib/vmware-vmafd/bin/dir-cli trustedcert publish --cert path_to_intermediateCA

O que Fazer Depois

Defina o modo de certificado como Personalizado. Se o modo de certificado for VMCA, o padrão, e você executar uma atualização de certificado, seus certificados personalizados serão substituídos por certificados assinados por VMCA. Consulte Alterar o modo de certificado ESXi.