vSphere 6.0.x incluye VMware Certificate Authority (VMCA). De forma predeterminada, VMCA genera todos los certificados internos utilizados en el entorno de vSphere, incluidos los certificados para los hosts ESXi recién agregados y los proveedores VASA de almacenamiento que administran o representan sistemas de almacenamiento de Virtual Volumes.

Los certificados SSL protegen la comunicación con el proveedor VASA. Estos certificados provienen del proveedor VASA o VMCA.

  • El proveedor VASA puede ofrecer directamente los certificados para que se utilicen a largo plazo. Pueden ser autogenerados y autofirmados, o bien derivar de una entidad de certificación externa.

  • VMCA puede generar los certificados para que el proveedor VASA los utilice.

Cuando se registran un host o un proveedor VASA, VMCA sigue estos pasos automáticamente, sin avisarle al administrador de vSphere.

  1. Cuando se agrega un proveedor VASA por primera vez al servicio de administración de almacenamiento (SMS) de vCenter Server, se genera un certificado autofirmado.

  2. Después de comprobar el certificado, SMS pide una solicitud de firma de certificado (CSR) del proveedor VASA.

  3. Después de recibir y validar la CSR, SMS la presenta a VMCA en nombre del proveedor VASA y solicita un certificado firmado por una entidad de certificación.

    Es posible configurar VMCA para que funcione como entidad de certificación independiente o como subordinada a una entidad de certificación empresarial. Si se configura VMCA como una entidad de certificación subordinada, VMCA firma la CSR con la cadena completa.

  4. Se transfieren el certificado firmado junto con el certificado raíz al proveedor VASA para que autentique todas las conexiones seguras futuras que provengan de SMS en vCenter Server y en los hosts ESXi.