En vSphere 6.0 y versiones posteriores, VMware Certificate Authority (VMCA) aprovisiona el entorno con certificados. Entre ellos se incluyen certificados SSL de máquina para conexiones seguras, certificados de usuarios de solución para autenticarse en vCenter Single Sign-On y certificados para hosts ESXi que se agregan a vCenter Server.

Los siguientes certificados están en uso.

Tabla 1. Certificados de vSphere 6.0

Certificado

Aprovisionado por

Almacenado

Certificados de ESXi

VMCA (valor predeterminado)

Localmente en el host ESXi

Certificados SSL de máquina

VMCA (valor predeterminado)

VECS

Certificados de usuarios de solución

VMCA (valor predeterminado)

VECS

Certificado de firma SSL vCenter Single Sign-On

Aprovisionado durante la instalación.

Administre este certificado desde vSphere Web Client.

ADVERTENCIA:

No cambie este certificado en el sistema de archivos, ya que podría producirse un comportamiento impredecible.

Certificado SSL de VMware Directory Service (vmdir)

Aprovisionado durante la instalación.

En algunos casos extremos, es posible que tenga que reemplazar este certificado. Consulte Reemplazar certificado para VMware Directory Service.

ESXi

Los certificados de ESXi se almacenan localmente en cada host del directorio /etc/vmware/ssl. Los certificados de ESXi son aprovisionados por VMCA de manera predeterminada, pero se pueden utilizar certificados personalizados. Los certificados de ESXi se aprovisionan cuando se agrega el host por primera vez a vCenter Server y cuando el host se vuelve a conectar.

Certificados SSL de máquina

El certificado SSL de máquina de cada nodo se utiliza para crear un socket de SSL en el lado del servidor al cual se conectan los clientes SSL. El certificado se utiliza para comprobar el servidor y establecer una comunicación segura mediante los protocolos HTTPS o LDAPS.

Todos los servicios se comunican mediante el proxy inverso. Por cuestiones de compatibilidad, los servicios que estaban disponibles en versiones anteriores de vSphere también utilizan puertos específicos. Por ejemplo, el servicio vpxd utiliza MACHINE_SSL_CERT para exponer su extremo.

Cada nodo (de implementación integrada, de administración o Platform Services Controller), tiene su propio certificado SSL de máquina. Todos los servicios que se ejecutan en ese nodo utilizan este certificado SSL de máquina para exponer sus extremos SSL.

El certificado SSL de máquina se utiliza del siguiente modo:

  • Mediante el servicio de proxy inverso en cada nodo de Platform Services Controller. Las conexiones SSL a los servicios individuales de vCenter siempre van al proxy inverso. El tráfico no va a los servicios en sí.

  • Mediante el servicio de vCenter (vpxd) en los nodos de administración y los nodos integrados.

  • Mediante VMware Directory Service (vmdir) en los nodos de infraestructura y los nodos integrados.

Los productos de VMware utilizan certificados estándar de la versión X.509 3 (X.509v3) para cifrar la información de la sesión que se envía entre los componentes por medio de SSL.

Certificados de usuarios de solución

Un usuario de solución agrupa uno o más servicios de vCenter Server y utiliza certificados para autenticarse en vCenter Single Sign-On mediante el intercambio de token SAML. Cada usuario de solución debe estar autenticado en vCenter Single Sign-On.

Los certificados de usuarios de solución se utilizan para efectuar la autenticación en vCenter Single Sign-On. Un usuario de solución presenta el certificado ante vCenter Single Sign-On cuando debe autenticarse por primera vez, después de un reinicio y de transcurrido un tiempo de espera. El tiempo de espera (tiempo de espera Holder-of-Key) puede establecerse desde vSphere Web Client y su valor predeterminado es 2.592.000 segundos (30 días).

Por ejemplo, el usuario de solución vpxd presenta su certificado en vCenter Single Sign-On al conectarse a vCenter Single Sign-On. El usuario de solución vpxd recibe un token SAML de vCenter Single Sign-On y, a continuación, puede utilizarlo para autenticarse en otros servicios y usuarios de solución.

Los siguientes almacenes de certificados de usuarios de solución se incluyen en VECS en cada nodo de administración y en cada implementación integrada:

  • machine: lo utilizan el administrador de componentes, el servidor de licencias y el servicio de registro.

    Nota:

    El certificado de usuario de solución de la máquina no tiene relación alguna con el certificado SSL de máquina. El certificado de usuario de solución de la máquina se utiliza para el intercambio de tokens SAML, mientras que el certificado SSL de máquina se utiliza para las conexiones SSL seguras de una máquina.

  • vpxd: almacén de daemon del servicio vCenter (vpxd) de los nodos de administración y las implementaciones integradas. vpxd utiliza el certificado de usuario de solución que está en este almacén para autenticarse en vCenter Single Sign-On.

  • vpxd-extensions: almacén de extensiones de vCenter. Incluye el servicio de Auto Deploy, el servicio de inventario u otros servicios que no forman parte de otros usuarios de solución.

  • vsphere-webclient: almacén de vSphere Web Client. También incluye algunos servicios adicionales como el servicio de gráficos de rendimiento.

El almacén machine también se incluye en cada nodo de Platform Services Controller.

Certificados de vCenter Single Sign-On

Los certificados de vCenter Single Sign-On no se almacenan en VECS y no se administran con herramientas de administración de certificados. Como regla general, no es necesario hacer cambios, pero en situaciones especiales, estos certificados se pueden reemplazar.

Certificado de firma de vCenter Single Sign-On

El servicio vCenter Single Sign-On incluye un servicio de proveedor de identidad que emite tokens SAML utilizados para la autenticación en todo el sistema vSphere. Un token SAML representa la identidad del usuario y, a su vez, contiene información sobre la pertenencia a los grupos. Cuando vCenter Single Sign-On emite tokens SAML, firma cada token con su certificado de firma, de modo que los clientes de vCenter Single Sign-On pueden comprobar que el token SAML proviene de un origen confiable.

vCenter Single Sign-On emite tokens SAML HoK para los usuarios de solución y tokens de portador para otros usuarios, que inician sesión con un nombre de usuario y una contraseña.

Este certificado se puede reemplazar desde vSphere Web Client. Consulte Actualizar el certificado del servicio de token de seguridad.

Certificado SSL de VMware Directory Service

Si utiliza certificados personalizados, es posible que deba reemplazar explícitamente el certificado SSL de VMware Directory Service. Consulte Reemplazar certificado para VMware Directory Service.