En vSphere 6.0 y versiones posteriores, VMware Certificate Authority (VMCA) aprovisiona el entorno con certificados. Entre ellos se encuentran certificados SSL de equipos para conexiones seguras, certificados de usuarios de solución para la autenticación de servicios ante vCenter Single Sign-On y certificados para hosts ESXi.

Los siguientes certificados están en uso.

Tabla 1. Certificados de vSphere 6.0

Certificado

Aprovisionado

Comentarios

Certificados de ESXi

VMCA (valor predeterminado)

Almacenados localmente en el host ESXi

Certificados SSL de máquina

VMCA (valor predeterminado)

Almacenados en VECS

Certificados de usuarios de solución

VMCA (valor predeterminado)

Almacenados en VECS

Certificado de firma SSL vCenter Single Sign-On

Aprovisionado durante la instalación.

Administre este certificado desde vSphere Web Client.

ADVERTENCIA:

No cambie este certificado en el sistema de archivos, ya que podría producirse un comportamiento impredecible.

Certificado SSL de VMware Directory Service (VMDIR)

Aprovisionado durante la instalación.

A partir de vSphere 6.5, el certificado SSL del equipo se usa como certificado de vmdir.

ESXi

Los certificados de ESXi se almacenan localmente en cada host del directorio /etc/vmware/ssl. Los certificados de ESXi son aprovisionados por VMCA de manera predeterminada, pero se pueden utilizar certificados personalizados. Los certificados de ESXi se aprovisionan cuando se agrega el host por primera vez a vCenter Server y cuando el host se vuelve a conectar.

Certificados SSL de máquina

El certificado SSL de máquina de cada nodo se utiliza para crear un socket de SSL en el lado del servidor. Los clientes SSL se conectan con el socket SSL. El certificado se utiliza para comprobar el servidor y establecer una comunicación segura mediante los protocolos HTTPS o LDAPS.

Cada nodo tiene su propio certificado SSL de máquina. Los nodos incluyen instancias de vCenter Server, instancias de Platform Services Controller o instancias de implementación integradas. Todos los servicios que se ejecutan en un nodo utilizan el certificado SSL de máquina para exponer sus endpoints SSL.

Los siguientes servicios utilizan el certificado SSL de máquina.

  • El servicio de proxy inverso en cada nodo de Platform Services Controller. Las conexiones SSL a los servicios individuales de vCenter siempre van al proxy inverso. El tráfico no va a los servicios en sí.

  • El servicio de vCenter (vpxd) en los nodos de administración y los nodos integrados.

  • VMware Directory Service (vmdir) en los nodos de infraestructura y los nodos integrados.

Los productos de VMware utilizan certificados X.509 versión 3 (X.509v3) estándar para cifrar la información de sesión. La información de sesión se envía mediante SSL entre los componentes.

Certificados de usuarios de solución

Un usuario de solución encapsula uno o varios servicios de vCenter Server. Cada usuario de solución debe estar autenticado en vCenter Single Sign-On. Los usuarios de solución utilizan certificados para autenticar vCenter Single Sign-On a través del intercambio de token SAML.

Un usuario de solución presenta el certificado ante vCenter Single Sign-On cuando debe autenticarse por primera vez, después de un reinicio y de transcurrido un tiempo de espera. El tiempo de espera (tiempo de espera del poseedor de clave) puede establecerse desde la interfaz web de vSphere Web Client o Platform Services Controller, y su valor predeterminado es 2.592.000 segundos (30 días).

Por ejemplo, el usuario de solución vpxd presenta su certificado en vCenter Single Sign-On al conectarse a vCenter Single Sign-On. El usuario de solución vpxd recibe un token SAML de vCenter Single Sign-On y, a continuación, puede utilizarlo para autenticarse en otros servicios y usuarios de solución.

Los siguientes almacenes de certificados de usuarios de solución se incluyen en VECS en cada nodo de administración y en cada implementación integrada:

  • machine: lo utilizan el administrador de componentes, el servidor de licencias y el servicio de registro.

    Nota:

    El certificado de usuario de solución de la máquina no tiene relación alguna con el certificado SSL de máquina. El certificado de usuario de solución de la máquina se utiliza para el intercambio de tokens SAML, mientras que el certificado SSL de máquina se utiliza para las conexiones SSL seguras de una máquina.

  • vpxd: almacén de daemon del servicio vCenter (vpxd) de los nodos de administración y las implementaciones integradas. vpxd utiliza el certificado de usuario de solución que está en este almacén para autenticarse en vCenter Single Sign-On.

  • vpxd-extensions: almacén de extensiones de vCenter. Incluye el servicio de Auto Deploy, el servicio de inventario u otros servicios que no forman parte de otros usuarios de solución.

  • vsphere-webclient: almacén de vSphere Web Client. También incluye algunos servicios adicionales como el servicio de gráficos de rendimiento.

Cada nodo de Platform Services Controller incluye un certificado machine.

Certificados internos

Los certificados de vCenter Single Sign-On no se almacenan en VECS y no se administran con herramientas de administración de certificados. Como regla general, no es necesario hacer cambios, pero en situaciones especiales, estos certificados se pueden reemplazar.

Certificado de firma de vCenter Single Sign-On

El servicio vCenter Single Sign-On incluye un servicio de proveedor de identidad que emite tokens SAML utilizados para la autenticación en todo el sistema vSphere. Un token SAML representa la identidad del usuario y, a su vez, contiene información sobre la pertenencia a los grupos. Cuando vCenter Single Sign-On emite tokens SAML, firma cada token con su certificado de firma, de modo que los clientes de vCenter Single Sign-On pueden comprobar que el token SAML proviene de un origen confiable.

vCenter Single Sign-On emite tokens SAML HoK para los usuarios de solución y tokens de portador para otros usuarios, que inician sesión con un nombre de usuario y una contraseña.

Este certificado se puede reemplazar desde vSphere Web Client. Consulte Actualizar el certificado del servicio de token de seguridad.

Certificado SSL de VMware Directory Service

A partir de vSphere 6.5, el certificado SSL del equipo se usa como certificado de directorio de VMware. Para versiones anteriores de vSphere, consulte la documentación correspondiente.

Certificados de cifrado de máquinas virtuales de vSphere

La solución de cifrado de máquinas virtuales de vSphere se conecta con un servidor de administración de claves (KMS) externo. Según la manera en que la solución se autentique ante el KMS, puede generar certificados y almacenarlos en VECS. Consulte la documentación de Seguridad de vSphere.