El impacto que tenga la nueva infraestructura de certificados depende de los requisitos del entorno, si se está realizando una instalación nueva o una actualización, y si está considerando ESXi o vCenter Server.

Administradores que no reemplazan certificados de VMware

Si es administrador y actualmente no reemplaza certificados de VMware, VMCA puede encargarse de la administración completa de los certificados. VMCA aprovisiona a vCenter Server con componentes y hosts ESXi con certificados que usan VMCA como entidad de certificación raíz. Si está actualizando a vSphere 6 desde una versión anterior de vSphere, todos los certificados autofirmados se reemplazan con certificados firmados por VMCA.

Administradores que reemplazan certificados de VMware por certificados personalizados

En el caso de una instalación nueva, los administradores tienen estas opciones si la directiva de la empresa establece que los certificados tienen que estar firmados por una entidad de certificación externa o empresarial, o bien necesita información sobre certificados personalizados.

  • Reemplace el certificado raíz de VMCA por un certificado firmado por la entidad de certificación. En este caso, el certificado de VMCA es un certificado intermedio de esta entidad de certificación externa. VMCA aprovisiona a los componentes de vCenter Server y a los hosts ESXi con certificados que incluyen la cadena completa de certificados.

  • Si la directiva de la empresa no permite certificados intermedios en la cadena, debe reemplazarlos de manera explícita. Puede usar la utilidad vSphere Certificate Manager o realizar el reemplazo manual de certificados mediante la CLI de administración de certificados.

Cuando actualice un entorno que usa certificados personalizados, puede retener algunos.

  • Los hosts ESXi mantienen sus certificados personalizados durante la actualización. Asegúrese de que el proceso de actualización de vCenter Server agregue todos los certificados raíz relevantes al almacén TRUSTED_ROOTS en VECS en vCenter Server.

    Después de actualizar vCenter Server, los administradores pueden establecer el modo de certificación en Personalizado (consulte Cambiar el modo de certificado). Si el modo de certificación es el predeterminado, VMCA, y el usuario actualiza el certificado desde vSphere Web Client, los certificados firmados por VMCA reemplazan a los certificados personalizados.

  • En el caso de los componentes de vCenter Server, lo que suceda dependerá del entorno actual.

    • Si actualiza una instalación simple a una implementación integrada, se conservarán las certificaciones personalizadas de vCenter Server. Después de la actualización, el entorno funcionará como antes.

    • Si actualiza una implementación en varios sitios donde vCenter Single Sign-On se encuentra en una máquina diferente que otros componentes de vCenter Server, el proceso de actualización crea una implementación en varios nodos que incluye un nodo de Platform Services Controller y uno o más nodos de administración.

      En este caso, los certificados actuales de vCenter Server y de vCenter Single Sign-On se conservan y se usan como certificados SSL de máquina. VMCA asigna un certificado firmado por VMCA a cada usuario de solución (recopilación de servicios de vCenter). Un usuario de solución utiliza este certificado únicamente para autenticarse en vCenter Single Sign-On, por lo que puede resultar innecesario reemplazar los certificados del usuario de solución.

    Ya no podrá usar la herramienta de reemplazo de certificados de vSphere 5.5, que estaba disponible para las instalaciones de vSphere 5.5, ya que la nueva arquitectura resulta en una selección y distribución diferentes de los servicios. Una nueva utilidad de la línea de comandos, vSphere Certificate Manager, está disponible para la mayoría de las tareas de administración de certificados.

Interfaces de certificados de vCenter

En el caso de vCenter Server, es posible ver y reemplazar certificados con las siguientes herramientas e interfaces.

utilidad vSphere Certificate Manager

Realice todas las tareas de reemplazo de certificados comunes desde la línea de comandos.

CLI de administración de certificados

Realice todas las tareas de administración de certificados con dir-cli, certool y vecs-cli.

Administración de certificados de vSphere Web Client

Vea los certificados, incluida la información de caducidad.

En el caso de ESXi, puede realizar la administración de certificados desde vSphere Web Client. Los certificados son aprovisionados por VMCA y almacenados solo de manera local en el host ESXi, ni en vmdir ni en VECS. Consulte Administrar certificados para hosts ESXi.

Certificados de vCenter admitidos

En el caso de vCenter Server, Platform Services Controller, y las máquinas y los servicios relacionados, se admiten los siguientes certificados:

  • Certificados generados y firmados por la entidad de certificación VMware Certificate Authority (VMCA).

  • Certificados personalizados.

    • Certificados empresariales que se generan desde su propia PKI interna.

    • Certificados externos firmados por una entidad de certificación que se genera mediante una PKI externa como Verisign, GoDaddy, etc.

No se admiten los certificados autofirmados que se crearon mediante OpenSSL donde no existe una entidad de certificación raíz.