Para almacenar un certificado de servidor TLS/SSL firmado por una autoridad de certificación de confianza en el dispositivo de Access Point, debe convertir el certificado al formato adecuado y utilizar scripts de PowerShell o la API de REST de Access Point para configurarlo.

Por qué y cuándo se efectúa esta tarea

En entornos de producción, VMware recomienda encarecidamente sustituir el certificado predeterminado lo antes posible. El certificado de servidor TLS/SSL que se genera al implementar un dispositivo de Access Point no está firmado por una autoridad de certificación de confianza.

Importante:

Utilice también este procedimiento para reemplazar periódicamente los certificados firmados por una autoridad de certificación de confianza antes de que caduquen, lo que puede ocurrir cada dos años.

Este procedimiento describe cómo utilizar la API de REST para reemplazar el certificado. Una alternativa más sencilla puede ser utilizar los scripts de PowerShell adjuntos a la entrada de blog "Utilizar PowerShell para implementar VMware Access Point", disponible en https://communities.vmware.com/docs/DOC-30835. Si ya se ha implementado el dispositivo de Access Point, al ejecutar el script de nuevo se apagará el dispositivo, se eliminará y se volverá a implementar con la configuración actual que se especifique.

Requisitos

  • A menos que ya disponga de un certificado de servidor TLS/SSL válido y de su clave privada, deberá obtener un nuevo certificado firmado de una autoridad de certificación. Al generar una solicitud de firma de certificado (CSR) para obtener uno, asegúrese de que se genere también una clave privada. No genere certificados para servidores con un valor de longitud de clave KeyLength inferior a 1024.

    Para generar la CSR, debe conocer el nombre de dominio plenamente cualificado ((FQDN) que utilizarán los dispositivos cliente para conectarse al dispositivo de Access Point y la unidad organizativa, la organización, la población, el estado y el país para completar el nombre del sujeto.

  • Convierta los archivos del certificado al formato PEM y los archivos .pem al formato de una línea. Consulte Convertir archivos de certificado al formato PEM de una línea.

  • Familiarícese con la API de REST de Access Point. Podrá encontrar la especificación para esta API en la siguiente URL en la máquina virtual donde se instaló Access Point: https://access-point-appliance.example.com:9443/rest/swagger.yaml.

Procedimiento

  1. Cree una solicitud JSON para enviar el certificado al dispositivo de Access Point.
    {
      "privateKeyPem": "string",
      "certChainPem": "string"
    }

    En este ejemplo, los valores string son los valores PEM de una línea de JSON que se crearon como se indicó en los requisitos previos.

  2. Utilice un cliente REST como por ejemplo, curl o postman, para utilizar la solicitud JSON para invocar a la API de REST de Access Point y almacenar el certificado y la clave en el dispositivo de Access Point.

    En el ejemplo siguiente, se utiliza un comando de curl. En el ejemplo, access-point-appliance.example.com es el nombre de dominio plenamente cualificado del dispositivo de Access Point y cert.json es la solicitud JSON que creó en el paso anterior.

    curl -k -d @- -u 'admin' -H "Content-Type: application/json" -X PUT https://access-point-appliance.example.com:9443/rest/v1/config/certs/ssl < ~/cert.json

Qué hacer a continuación

Si la autoridad de certificación que firmó el certificado no es muy conocida, configure los clientes para que confíen en los certificados raíz e intermedio.