El certificado SSL de máquina se utiliza en el servicio de proxy inverso de cada nodo de administración, en Platform Services Controller y en la implementación integrada. Cada máquina debe tener un certificado SSL de máquina para establecer una comunicación segura con otros servicios. Puede reemplazar el certificado de cada nodo por un certificado personalizado.

Requisitos

Antes de comenzar, se necesita una CSR para cada máquina del entorno. La CSR se puede generar mediante vSphere Certificate Manager o de forma explícita.

  1. Para generar la CSR mediante vSphere Certificate Manager, consulte Generar solicitudes de firma de certificado con vSphere Certificate Manager (certificados personalizados).

  2. Para generar la CSR de forma explícita, solicite un certificado para cada máquina a la entidad de certificación empresarial o externa. El certificado debe cumplir con los siguientes requisitos:

    • Tamaño de clave: 2.048 bits o más (formato codificado PEM)

    • Formato CRT

    • x509 versión 3

    • SubjectAltName debe contener DNS Name=<machine_FQDN>

    • Contiene los siguientes usos de claves: firma digital, no repudio, cifrado de clave

Nota:

No utilice los puntos de distribución de CRL, el acceso a la información de autoridad o la información de la plantilla de certificado en ningún certificado personalizado.

Consulte también el artículo de la base de conocimientos de VMware Obtaining vSphere certificates from a Microsoft Certificate Authority (2112014).

Procedimiento

  1. Inicie vSphere Certificate Manager y seleccione la opción 1.
  2. Seleccione la opción 2 para iniciar el reemplazo de certificados y responder a las solicitudes.

    vSphere Certificate Manager solicita la siguiente información:

    • Contraseña de administrator@vsphere.local.

    • Un certificado SSL de máquina personalizado y válido (archivo .crt).

    • Una clave SSL de máquina personalizada y válida (archivo .key).

    • Un certificado de firma válido para el certificado SSL de máquina personalizado (archivo .crt).

    • La dirección IP de Platform Services Controller si el comando se ejecuta en un nodo de administración dentro de una implementación de varios nodos.

Qué hacer a continuación

Si desea realizar una actualización desde un entorno de vSphere 5.x, deberá reemplazar el certificado de vCenter Single Sign-On en vmdir. Consulte Reemplazar el certificado de VMware Directory Service en entornos de modo mixto.