De manera predeterminada, el servidor Auto Deploy aprovisiona cada host con certificados firmados por VMCA. Es posible configurar el servidor Auto Deploy para que aprovisione todos los hosts con certificados personalizados que no estén firmados por VMCA. En ese caso, el servidor Auto Deploy se transforma en una entidad de certificación subordinada a la entidad de certificación externa.

Antes de empezar

  • Solicite un certificado que cumpla con los requisitos de la entidad de certificación correspondiente.

    • Tamaño de clave: 2.048 bits o más (formato codificado PEM)

    • Formato PEM. VMware admite PKCS8 y PKCS1 (claves RSA). Cuando se agregan claves a VECS, se convierten en PKCS8

    • x509 versión 3

    • Para los certificados raíz, la extensión CA se debe establecer en true y el signo cert debe estar en la lista de requisitos.

    • SubjectAltName debe contener DNS Name=<machine_FQDN>

    • Formato CRT

    • Contiene los siguientes usos de claves: firma digital, no repudio, cifrado de clave

    • Hora de inicio de un día anterior a la hora actual

    • CN (y SubjectAltName) establecidos con el nombre de host (o dirección IP) que el host ESXi tiene en el inventario de vCenter Server.

  • Asigne un nombre para el certificado y los archivos de claves rbd-ca.crt y rbd-ca.key.

Procedimiento

  1. Realice una copia de seguridad de los certificados de ESXi predeterminados.

    Los certificados están ubicados en /etc/vmware-rbd/ssl/.

  2. Desde vSphere Web Client, detenga el servicio de Auto Deploy.
    1. Seleccione Administración y haga clic en Configuración del sistema en Implementación.
    2. Haga clic en Servicios.
    3. Haga clic con el botón derecho en el servicio que desee detener y seleccione Detener.
  3. En el sistema donde se ejecuta el servicio de Auto Deploy, reemplace rbd-ca.crt y rbd-ca.key en /etc/vmware-rbd/ssl/ por el certificado personalizado y el archivo de claves.
  4. En el sistema donde se ejecuta el servicio de Auto Deploy, actualice el almacén TRUSTED_ROOTS de VECS para utilizar los nuevos certificados.
    vecs-cli entry delete --store TRUSTED_ROOTS --alias
    				rbd_cert  
    vecs-cli entry create --store TRUSTED_ROOTS --alias
    				rbd_cert --cert /etc/vmware-rbd/ssl/rbd-ca.crt
    

    Windows

    C:\Archivos de programa\VMware\vCenter Server\vmafdd\vecs-cli.exe

    Linux

    /usr/lib/vmware-vmafd/bin/vecs-cli

  5. Cree un archivo castore.pem que incluya el contenido de TRUSTED_ROOTS y coloque el archivo en el directorio /etc/vmware-rbd/ssl/.

    En el modo personalizado, usted es responsable de mantener este archivo.

  6. Cambie el modo de certificación del sistema vCenter Server a custom.
  7. Reinicie el servicio de vCenter Server e inicie el servicio de Auto Deploy.

Resultados

La próxima vez que se aprovisione un host configurado para utilizar Auto Deploy, el servidor Auto Deploy genera un certificado que utiliza el certificado raíz que se acaba de agregar al almacén TRUSTED_ROOTS.