vSphere proporciona seguridad mediante el uso de certificados para cifrar las comunicaciones, autenticar los servicios y firmar tokens.

vSphere utiliza certificados para:

  • Cifrar las comunicaciones entre dos nodos, por ejemplo, vCenter Server y un host de ESXi.

  • Autenticar los servicios de vSphere.

  • Realizar acciones internas, como firmar tokens.

La entidad de certificación interna de vSphere, VMware Certificate Authority (VMCA) proporciona todos los certificados necesarios para vCenter Server y ESXi. VMCA se instala en cada Platform Services Controller y protege inmediatamente la solución sin realizar otras modificaciones. Mantener esta configuración predeterminada proporciona la sobrecarga operativa más baja para la administración de certificados. vSphere proporciona un mecanismo para renovar estos certificados en caso de que caduquen.

vSphere también proporciona un mecanismo para reemplazar determinados certificados con sus propios certificados. Sin embargo, reemplace solamente el certificado SSL que proporciona cifrado entre los nodos, para reducir la sobrecarga de administración de certificados al mínimo.

Se recomiendan las siguientes opciones para la administración de certificados.

Tabla 1. Opciones recomendadas para la administración de certificados

Modo

Descripción

Ventajas

Certificados de VMCA predeterminados

VMCA proporciona todos los certificados para hosts de vCenter Server y de ESXi.

Sobrecarga más simple y más baja. VMCA puede administrar el ciclo de vida de certificados para vCenter Server y hosts ESXi.

Certificados de VMCA predeterminados con certificados SSL externos (modo híbrido)

Para administrar certificados de los usuarios de solución y los hosts ESXi, debe reemplazar los certificados SSL de Platform Services Controller y vCenter Server Appliance, y permitir VMCA. De manera opcional, para las implementaciones de alta seguridad conscientes, puede reemplazar también los certificados SSL de host ESXi.

Simple y seguro. VMCA administra los certificados internos, pero se obtiene el beneficio de obtener sus certificados SSL aprobados por la empresa y que los exploradores confíen en dichos certificados.

VMware no recomienda el reemplazo de los certificados de usuario de la solución o los certificados STS ni el uso de una entidad de certificación subordinada en lugar de VMCA. Si selecciona cualquiera de estas opciones, es posible que se encuentre con una considerable complejidad y que exista la posibilidad de un impacto negativo para la seguridad y un aumento innecesario en el riesgo operativo. Para obtener más información sobre la administración de certificados en un entorno de vSphere, consulte la publicación de blog llamada Revisión de producto nuevo: reemplazo del certificado SSL de vSphere híbrido en http://vmware.com/go/hybridvmca.

Puede utilizar las siguientes opciones para reemplazar los certificados existentes:

Tabla 2. Diferentes enfoques de reemplazo de certificados

Opción

Consulte

Utilice la interfaz web de Platform Services Controller (vSphere 6.0 Update 1 y posteriores).

Administrar certificados con la interfaz web de Platform Services Controller

Ejecute la utilidad vSphere Certificate Manager desde la línea de comandos.

Administrar certificados con la utilidad vSphere Certificate Manager

Utilice los comandos de la CLI para el reemplazo manual de certificados.

Administrar servicios y certificados con comandos de CLI