Otra entidad de certificación puede firmar el certificado VMCA, de manera que VMCA se convierta en una entidad de certificación intermedia. Posteriormente, todos los certificados generados por VMCA incluirán la cadena completa.

Por qué y cuándo se efectúa esta tarea

Para realizar esta configuración, puede ejecutar la utilidad vSphere Certificate Manager, utilizar las CLI, o bien usar la interfaz web de Platform Services Controller.

Requisitos

  1. Genere la CSR.

  2. Edite el certificado que recibe y coloque el certificado raíz de VMCA actual al final.

Generar una CSR con vSphere Certificate Manager y preparar certificados raíz (CA intermedia) explica ambos pasos.

Procedimiento

  1. En un explorador web, conéctese a vSphere Web Client o Platform Services Controller.

    Opción

    Descripción

    vSphere Web Client

    https://vc_hostname_or_IP/vsphere-client

    Platform Services Controller

    https://psc_hostname_or_IP/psc

    En una implementación integrada, el nombre de host o la dirección IP de Platform Services Controller es igual al nombre de host o la dirección IP de vCenter Server.

  2. Especifique el nombre de usuario y la contraseña para administrator@vsphere.local u otro miembro del grupo de administradores de vCenter Single Sign-On.

    Si especificó otro dominio durante la instalación, inicie sesión como administrator@mydomain.

  3. Para reemplazar el certificado existente con el certificado encadenado, siga estos pasos:
    1. En Certificados, haga clic en Entidad de certificación y seleccione la pestaña Certificado raíz.
    2. Haga clic en Reemplazar certificado, agregue el archivo de clave privada y el archivo de certificado (cadena completa), y haga clic en Aceptar.
    3. En el cuadro de diálogo Reemplazar certificado raíz, haga clic en Examinar y seleccione la clave privada. Después, haga clic en Examinar y seleccione el certificado, y haga clic en Aceptar.

    Posteriormente, VMCA firma todos los certificados que emite con el nuevo certificado raiz encadenado.

  4. Renueve el certificado SSL de máquina del sistema local.
    1. En Certificados, haga clic en Administración de certificados y seleccione la pestaña Certificados de máquina.
    2. Seleccione el certificado, haga clic en Renovar y responda a la solicitud.

    VMCA reemplaza el certificado SSL de máquina por un certificado firmado por la nueva entidad de certificación.

  5. (Opcional) : Renueve los certificados de usuarios de solución del sistema local.
    1. Haga clic en la pestaña Certificados de usuarios de solución.
    2. Seleccione un certificado y haga clic en Renovar para renovar los certificados individuales seleccionados o haga clic en Renovar todo para reemplazar todos los certificados y, a continuación, responda a la solicitud.

    VMCA reemplaza los certificados de usuarios de solución por certificados firmados por la nueva entidad de certificación.

  6. Si el entorno incluye una instancia de Platform Services Controller externa, es posible renovar los certificados para cada uno de los sistemas vCenter Server.
    1. Haga clic en el botón Cerrar sesión en el panel Administración de certificados.
    2. Cuando se lo solicite el sistema, especifique la dirección IP o el FQDN del sistema vCenter Server y el nombre de usuario y la contraseña del administrador de vCenter Server.

      El administrador debe poder autenticarse en vCenter Single Sign-On.

    3. Renueve el certificado SSL de máquina en vCenter Server y, de manera opcional, cada certificado de usuario de solución.
    4. Si existen varios sistemas vCenter Server en el entorno, repita el proceso para cada sistema.

Qué hacer a continuación

Reinicie los servicios de Platform Services Controller. Puede reiniciar la instancia de Platform Services Controller o ejecutar los siguientes comandos desde la línea de comandos:

Windows

En Windows, el comando service-control está ubicado en VCENTER_INSTALL_PATH\bin.

service-control --stop --all 
service-control --start VMWareAfdService 
service-control --start VMWareDirectoryService 
service-control --start VMWareCertificateService

vCenter Server Appliance

service-control --stop --all
service-control --start vmafdd 
service-control --start vmdird 
service-control --start vmcad