Muchas empresas solo requieren que reemplace los certificados de los servicios a los que se puede acceder externamente. Sin embargo, Certificate Manager también permite reemplazar certificados de usuarios de solución. Los usuarios de solución son recopilaciones de servicios, por ejemplo, todos los servicios que están asociados con vSphere Web Client En las implementaciones de varios nodos debe reemplazar el certificado de usuario de solución del equipo en la instancia de Platform Services Controller y el conjunto completo de usuarios de solución en cada nodo de administración.

Por qué y cuándo se efectúa esta tarea

Cuando se le solicite un certificado de usuario de solución, proporcione la cadena de certificados de firma completa de la entidad de certificación externa.

El formato debe ser similar al siguiente mensaje.

-----BEGIN CERTIFICATE-----
Signing certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
CA intermediate certificates
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Root certificate of enterprise or external CA
-----END CERTIFICATE-----

Requisitos

Antes de comenzar, se necesita una CSR para cada máquina del entorno. La CSR se puede generar mediante vSphere Certificate Manager o de forma explícita.

  1. Para generar la CSR mediante vSphere Certificate Manager, consulte Generar solicitudes de firma de certificado con vSphere Certificate Manager (certificados personalizados).

  2. Solicite un certificado para cada usuario de solución en cada nodo a la CA empresarial o externa. Puede generar la CSR mediante vSphere Certificate Manager o prepararla usted mismo. La CSR debe cumplir con los siguientes requisitos:

    • Tamaño de clave: 2.048 bits o más (formato codificado PEM)

    • Formato CRT

    • x509 versión 3

    • SubjectAltName debe contener DNS Name=<machine_FQDN>

    • Cada certificado de usuario de solución debe tener un Subject diferente. Por ejemplo, considere incluir el nombre de usuario de solución (como vpxd) u otro identificador único.

    • Contiene los siguientes usos de claves: firma digital, no repudio, cifrado de clave

Consulte también el artículo de la base de conocimientos de VMware Obtaining vSphere certificates from a Microsoft Certificate Authority (2112014).

Procedimiento

  1. Inicie vSphere Certificate Manager y seleccione la opción 5.
  2. Seleccione la opción 2 para iniciar el reemplazo de certificados y responder a las solicitudes.

    vSphere Certificate Manager solicita la siguiente información:

    • Contraseña de administrator@vsphere.local.

    • Certificado y clave del usuario de solución de la máquina.

    • Si se ejecuta vSphere Certificate Manager en un nodo de Platform Services Controller, se solicita el certificado y la clave (vpxd.crt y vpxd.key) del usuario de solución de la máquina.

    • Si se ejecuta vSphere Certificate Manager en un nodo de administración o en una implementación integrada, se solicita el conjunto completo de certificados y claves (vpxd.crt y vpxd.key) de todos los usuarios de solución.

Qué hacer a continuación

Si desea realizar una actualización desde un entorno de vSphere 5.x, es posible que deba reemplazar el certificado de vCenter Single Sign-On dentro de vmdir. Consulte Reemplazar el certificado de VMware Directory Service en entornos de modo mixto.