Después de reemplazar los certificados SSL de máquina, puede reemplazar los certificados de usuarios de solución firmados por VMCA con certificados externas o empresariales.

Por qué y cuándo se efectúa esta tarea

Muchos clientes de VMware no reemplazan los certificados de usuario de las soluciones. Reemplazan solo los certificados SSL de los equipos con certificados personalizados. Este enfoque híbrido satisface los requisitos de sus equipos de seguridad.

  • Los certificados se sientan detrás de un proxy, o bien son certificados personalizados.

  • No se utilizan CA intermedias.

Los usuarios de soluciones usan los certificados únicamente para autenticarse en vCenter Single Sign-On. Si el certificado es válido, vCenter Single Sign-On asigna un token SAML al usuario de solución. Este usa el token SAML para autenticarse en otros componentes de vCenter.

Debe reemplazar el certificado de usuario de solución de la máquina en cada nodo de administración y en cada nodo de Platform Services Controller. Debe reemplazar los certificados de usuarios de solución solo en cada nodo de administración. Utilice el parámetro --server para apuntar a Platform Services Controller cuando ejecute comandos en un nodo de administración con una instancia externa de Platform Services Controller.

Nota:

Cuando se enumeran certificados de usuario de solución en implementaciones de gran tamaño, el resultado de dir-cli list incluye todos los usuarios de solución de todos los nodos. Ejecute vmafd-cli get-machine-id --server-name localhost para encontrar el identificador de máquina local para cada host. El nombre del usuario de solución incluye el identificador de máquina.

Requisitos

  • Tamaño de clave: 2.048 bits o más (formato codificado PEM)

  • Formato CRT

  • x509 versión 3

  • SubjectAltName debe contener DNS Name=<machine_FQDN>

  • Cada certificado de usuario de solución debe tener un Subject diferente. Por ejemplo, considere incluir el nombre de usuario de solución (como vpxd) u otro identificador único.

  • Contiene los siguientes usos de claves: firma digital, no repudio, cifrado de clave

Procedimiento

  1. Detenga todos los servicios e inicie los servicios que se ocupan de la creación, de la propagación y del almacenamiento de certificados.
    service-control --stop --all
    service-control --start vmafdd
    service-control --start vmdird
    service-control --start vmca
    
  2. Busque el nombre de cada usuario de solución.
    dir-cli service list 
    

    Puede usar el identificador único que se devuelve al reemplazar los certificados. La entrada y la salida deben verse de la siguiente manera.

    C:\Program Files\VMware\vCenter Server\vmafdd>dir-cli service list
    Enter password for administrator@vsphere.local:
    1. machine-1d364500-4b45-11e4-96c2-020011c98db3
    2. vpxd-1d364500-4b45-11e4-96c2-020011c98db3
    3. vpxd-extension-1d364500-4b45-11e4-96c2-020011c98db3
    4. vsphere-webclient-1d364500-4b45-11e4-96c2-020011c98db3

    Cuando enumera certificados de usuario de solución en implementaciones de varios nodos, el resultado de la lista de dir-cli incluye todos los usuarios de solución de todos los nodos. Ejecute vmafd-cli get-machine-id --server-name localhost para encontrar el identificador de máquina local para cada host. El nombre del usuario de solución incluye el identificador de máquina.

  3. En cada usuario de solución, reemplace el certificado actual en VECS y, a continuación, en vmdir.

    Debe agregar los certificados en ese orden.

    vecs-cli entry delete --store vpxd --alias vpxd
    vecs-cli entry create --store vpxd --alias vpxd --cert vpxd.crt --key vpxd.priv
    dir-cli service update --name <vpxd-xxxx-xxx-xxxxxx> --cert vpxd.crt
    
    Nota:

    Los usuarios de solución no podrán autenticarse en vCenter Single Sign-On si no se reemplaza el certificado en vmdir.

  4. Reinicie todos los servicios.
    service-control --start --all