El primer paso para reemplazar los certificados VMCA por certificados personalizados es generar una solicitud de firma de certificados (CSR) y agregar el certificado que se devuelve a VMCA como certificado raíz.

Por qué y cuándo se efectúa esta tarea

El certificado que se envía para firmar debe cumplir con los siguientes requisitos:

  • Tamaño de clave: 2.048 bits o más

  • Formato PEM. VMware admite PKCS8 y PKCS1 (claves RSA). Cuando se agregan claves a VECS, se convierten en PKCS8

  • x509 versión 3

  • Si utiliza certificados personalizados, la extensión CA debe establecerse con el valor true para certificados de raíz, y el signo cert debe estar en la lista de requisitos.

  • La firma CRL debe estar habilitada.

  • El uso mejorado de clave no debe contener autenticación de cliente ni autenticación de servidor.

  • No hay límite explícito a la longitud de la cadena de certificados. VMCA utiliza el valor predeterminado de OpenSSL, que es de diez certificados.

  • No se admiten los certificados con comodines o con más de un nombre DNS.

  • No se pueden crear CA subsidiarias de VMCA.

    Para obtener un ejemplo de uso de Microsoft Certificate Authority, consulte el artículo 2112009 de la base de conocimientos de VMware, Cómo crear una plantilla de Microsoft Certificate Authority para la creación de certificados SSL en vSphere 6.0.

VMCA valida los siguientes atributos de certificados al reemplazar el certificado raíz:

  • Tamaño de clave de 2048 bits o más

  • Uso de clave: firma de certificado

  • Restricción básica: entidad de certificación de tipo sujeto

Procedimiento

  1. Genere una CSR y envíela a la entidad de certificación.

    Siga las instrucciones de la entidad de certificación.

  2. Prepare un archivo de certificados que incluya el certificado VMCA firmado junto con la cadena completa de la entidad de certificación externa o empresarial y guarde el archivo, como rootca1.crt.

    Para hacerlo, se pueden copiar todos los certificados de la entidad de certificación en formato PEM en un solo archivo. Debe empezar por el certificado raíz de VMCA y finalizar con el certificado raíz PEM de la entidad de certificación. Por ejemplo:

    -----BEGIN CERTIFICATE-----
    <Certificate of VMCA>
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    <Certificate of intermediary CA>
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    <Certificate of Root CA>
    -----END CERTIFICATE-----
  3. Detenga todos los servicios e inicie los servicios que se ocupan de la creación, de la propagación y del almacenamiento de certificados.

    Los nombres de servicios en Windows no son los mismos que en vCenter Server Appliance.

    Windows

    service-control --stop --all
    service-control --start VMWareAfdService
    service-control --start VMWareDirectoryService
    service-control --start VMWareCertificateService
    

    vCenter Server Appliance

    service-control --stop --all
    service-control --start vmafdd
    service-control --start vmdird
    service-control --start vmcad
    
  4. Reemplace la entidad de certificación raíz VMCA existente.
    certool --rootca --cert=rootca1.crt --privkey=root1.key

    Al ejecutarse, este comando realiza lo siguiente:

    • Agrega el nuevo certificado raíz personalizado a la ubicación de certificados en el sistema de archivos.

    • Anexa el certificado raíz personalizado al almacén TRUSTED_ROOTS en VECS (después de una demora).

    • Agrega el certificado raíz personalizado a vmdir (después de una demora).

  5. (Opcional) : Para propagar el cambio a todas las instancias de vmdir (VMware Directory Service), publique el nuevo certificado raíz en vmdir suministrando la ruta de acceso para cada archivo.

    Por ejemplo:

    dir-cli trustedcert publish --cert rootca1.crt

    Cada 30 segundos se produce la replicación entre los nodos de vmdir. No se necesita agregar el certificado raíz a VECS explícitamente, ya que VECS sondea vmdir cada 5 minutos en busca de nuevos archivos de certificados raíz.

  6. (Opcional) : Si fuera necesario, se puede forzar la actualización de VECS.
    vecs-cli force-refresh
  7. Reinicie todos los servicios.
    service-control --start --all
    

Reemplazo del certificado raíz

Reemplace el certificado raíz de VMCA por el certificado raíz personalizado de la entidad de certificación mediante el comando certool con la opción --rootca.

C:\>"C:\Program Files\VMware\vCenter Server\vmcad\certool" --rootca --cert=C:\custom-certs\root.pem -–privkey=C:\custom-certs\root.key

Al ejecutarse, este comando realiza lo siguiente:

  • Agrega el nuevo certificado raíz personalizado a la ubicación de certificados en el sistema de archivos.

  • Anexa el certificado raíz personalizado al almacén TRUSTED_ROOTS en VECS.

  • Agrega el certificado raíz personalizado a vmdir.

Qué hacer a continuación

Se puede quitar el certificado raíz original de VMCA del almacén de certificados si así lo establece la directiva de la empresa. En caso de hacerlo, deberá actualizar estos certificados internos: