Se puede utilizar vSphere Certificate Manager para generar solicitudes de firma del certificado (CSR). Envíe esas CSR a la CA de la empresa o a una entidad de certificación externa para su firma. Los certificados firmados se pueden utilizar en los diversos procesos de reemplazo de certificados compatibles.

Antes de empezar

vSphere Certificate Manager solicita información. Las solicitudes dependen del entorno y del tipo de certificado que se desea reemplazar.

Para cualquier tipo de generación de CSR, se solicita la contraseña del usuario administrator@vsphere.local o el administrador del dominio de vCenter Single Sign-On con el que se desea establecer la conexión.

Por qué y cuándo se efectúa esta tarea

  • Se puede utilizar vSphere Certificate Manager para crear la CSR.

  • Si prefiere crear la CSR de forma manual, el certificado que envíe para firmar debe cumplir con los siguientes requisitos.

    • Tamaño de clave: 2.048 bits o más

    • Formato PEM. VMware admite PKCS8 y PKCS1 (claves RSA). Cuando se agregan claves a VECS, se convierten en PKCS8

    • x509 versión 3

    • Si utiliza certificados personalizados, la extensión CA debe establecerse con el valor true para certificados de raíz, y el signo cert debe estar en la lista de requisitos.

    • La firma CRL debe estar habilitada.

    • El uso mejorado de clave no debe contener autenticación de cliente ni autenticación de servidor.

    • No hay límite explícito a la longitud de la cadena de certificados. VMCA utiliza el valor predeterminado de OpenSSL, que es de diez certificados.

    • No se admiten los certificados con comodines o con más de un nombre DNS.

    • No se pueden crear CA subsidiarias de VMCA.

      Para obtener un ejemplo de uso de Microsoft Certificate Authority, consulte el artículo 2112009 de la base de conocimientos de VMware, Cómo crear una plantilla de Microsoft Certificate Authority para la creación de certificados SSL en vSphere 6.0.

Procedimiento

  1. Inicie vSphere Certificate Manager y seleccione la opción 2.

    Inicialmente, esta opción se utiliza para generar la CSR, no para reemplazar los certificados.

  2. Si el sistema lo solicita, proporcione la contraseña y la dirección IP o el nombre de host de Platform Services Controller.
  3. Seleccione la opción 1 para generar la CSR y responda las solicitudes.

    Es necesario especificar un directorio como parte de este proceso. Certificate Manager coloca el certificado para su firma (archivo *.csr) y el archivo de clave correspondiente (archivo *.key) en el directorio.

  4. Envíe el certificado para su firma a la CA externa o de la empresa. El archivo debe tener el nombre root_signing_cert.cer.
  5. En un editor de texto, combine el certificado de la siguiente manera.
    -----BEGIN CERTIFICATE-----
    Signed VMCA root certificate
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    CA intermediate certificates
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    Root certificate of enterprise or external CA
    -----END CERTIFICATE-----
  6. Guarde el archivo como root_signing_chain.cer.

Qué hacer a continuación

Reemplace el certificado raíz existente por el certificado raíz en cadena. Consulte Reemplazar el certificado raíz de VMCA por un certificado de firma personalizado y reemplazo de todos los certificados.