Es posible realizar distintos tipos de reemplazo de certificados según los requisitos y la directiva de la empresa para el sistema que va a configurar. Puede realizar cada reemplazo con la utilidad vSphere Certificate Manager o manualmente mediante las CLI que se incluyen con la instalación.

Es posible reemplazar los certificados predeterminados. Para los componentes de vCenter Server, puede usar un conjunto de herramientas de línea de comandos que se incluyen en la instalación. Existen varias opciones.

Reemplazar con certificados firmados por VMCA

Si su certificado de VMCA vence o si quiere reemplazarlo por otros motivos, puede usar las CLI de administración de certificados para realizar ese proceso. De forma predeterminada, el certificado raíz de VMCA vence después de diez años y todos los certificados que firma VMCA vencen cuando vence el certificado raíz, es decir, después de un máximo de diez años.

Figura 1. Los certificados firmados por VMCA se almacenan en VECS
En el modo predeterminado, VMCA aprovisiona certificados firmados por VMCA

Conversión de VMCA en una CA intermediaria

Puede reemplazar el certificado raíz de VMCA por un certificado firmado por una CA empresarial o externa. VMCA firma el certificado raíz cada vez que aprovisiona certificados, lo que convierte a VMCA en una CA intermediaria.

Nota:

Si realiza una instalación nueva que incluye una instancia de Platform Services Controller externa, instale el primer Platform Services Controller y reemplace el certificado raíz de VMCA. Luego, instale otros servicios o agregue hosts ESXi al entorno. Si realiza una instalación nueva que incluye una instancia de Platform Services Controller integrada, reemplace el certificado raíz de VMCA antes de agregar hosts ESXi. Si lo hace, la cadena completa firma todos los certificados y no es necesario generar certificados nuevos.

Figura 2. Los certificados firmados por una CA empresarial o externa usan VMCA como CA intermediaria
El certificado de VMCA se incluye como certificado de intermediario. Una CA externa firma el certificado raíz.

No use VMCA; aprovisione certificados personalizados

Puede reemplazar los certificados firmados por VMCA existentes con certificados personalizados. Si emplea este enfoque, asume la responsabilidad del aprovisionamiento y la supervisión de todos los certificados.

Figura 3. Los certificados externos se almacenan directamente en VECS
Los certificados externos se almacenan directamente en VECS. No se usa VMCA.

Implementación híbrida

Puede hacer que VMCA proporcione algunos de los certificados, pero, al mismo tiempo, certificados personalizados para otras partes de la infraestructura. Por ejemplo, dado que los certificados de usuarios de soluciones se usan solo para autenticar vCenter Single Sign-On, considere la posibilidad de hacer que VMCA aprovisione esos certificados. Reemplace los certificados de SSL de máquinas con certificados personalizados para proteger todo el tráfico de SSL.

Reemplazar certificados de ESXi

Para los hosts ESXi, puede cambiar el comportamiento de aprovisionamiento de certificados desde vSphere Web Client.

Modo VMware Certificate Authority (valor predeterminado)

Cuando se renuevan certificados desde vSphere Web Client, VMCA emite los certificados para los hosts. Si cambió el certificado raíz de VMCA para incluir una cadena de certificados, los certificados del host incluyen la cadena completa.

Modo de entidad de certificación personalizada

Permite actualizar y usar manualmente certificados que no han sido firmados o emitidos por VMCA.

Modo de huella digital

Puede usarse para conservar los certificados de la versión 5.5 durante la actualización. Use este modo únicamente de manera temporal en situaciones de depuración.