Se puede reemplazar el certificado raíz de VMCA por un certificado firmado por una entidad de certificación en el que se incluya VMCA como certificado intermedio en la cadena de certificados. Más adelante, todos los certificados generados por VMCA incluirán la cadena completa.

Antes de empezar

  • Genere la CSR.

    • Se puede utilizar vSphere Certificate Manager para crear la CSR. Consulte Generar una CSR con vSphere Certificate Manager y preparar certificados raíz (CA intermedia)

    • Si prefiere crear la CSR de forma manual, el certificado que envíe para firmar debe cumplir con los siguientes requisitos:

      • Tamaño de clave: 2.048 bits o más

      • Formato PEM. VMware admite PKCS8 y PKCS1 (claves RSA). Cuando se agregan claves a VECS, se convierten en PKCS8

      • x509 versión 3

      • Si utiliza certificados personalizados, la extensión CA debe establecerse con el valor true para certificados de raíz, y el signo cert debe estar en la lista de requisitos.

      • La firma CRL debe estar habilitada.

      • El uso mejorado de clave no debe contener autenticación de cliente ni autenticación de servidor.

      • No hay límite explícito a la longitud de la cadena de certificados. VMCA utiliza el valor predeterminado de OpenSSL, que es de diez certificados.

      • No se admiten los certificados con comodines o con más de un nombre DNS.

      • No se pueden crear CA subsidiarias de VMCA.

        Para obtener un ejemplo de uso de Microsoft Certificate Authority, consulte el artículo 2112009 de la base de conocimientos de VMware, Cómo crear una plantilla de Microsoft Certificate Authority para la creación de certificados SSL en vSphere 6.0.

  • Una vez que reciba el certificado de una entidad de certificación empresarial o externa, combínelo con el certificado raíz inicial de VMCA para generar una cadena completa con el certificado raíz de VMCA en la parte inferior. Consulte Generar una CSR con vSphere Certificate Manager y preparar certificados raíz (CA intermedia).

  • Recopile la información necesaria.

    • Contraseña de administrator@vsphere.local.

    • Un certificado personalizado válido para la raíz (archivo .crt).

    • Clave personalizada válida para la raíz (archivo .key).

Por qué y cuándo se efectúa esta tarea

vSphere Certificate Manager se ejecuta en una instalación integrada o en una instancia externa de Platform Services Controller para reemplazar el certificado raíz de VMCA por un certificado de firma personalizado.

vSphere Certificate Manager solicita la siguiente información:

Procedimiento

  1. Inicie vSphere Certificate Manager en una instalación integrada o en una instancia de Platform Services Controller externa y seleccione la opción 2.
  2. Seleccione la opción 2 para iniciar el reemplazo de certificados y responder a las solicitudes.
    1. Especifique la ruta de acceso completa al certificado raíz cuando se le solicite.
    2. Si es la primera vez que reemplaza los certificados, se le solicitará información que se utilizará para el certificado SSL de máquina.

      Esta información incluye el FQDN obligatorio de la máquina y se almacena en el archivo certool.cfg.

  3. Si se reemplaza el certificado raíz en una implementación de varios nodos, debe reiniciar los servicios en todas las instancias de vCenter Server.
  4. En implementaciones de varios nodos, para regenerar todos los certificados en cada instancia de vCenter Server , utilice la opción 3 (Reemplazar certificado SSL de máquina por certificado de VMCA) y la opción 6 (Reemplazar certificados de usuario de solución por certificados de VMCA).

    Al reemplazar los certificados, VMCA firma con la cadena completa.

Qué hacer a continuación

Según el entorno, es posible que sea necesario reemplazar de forma explícita otros certificados.