Los requisitos de certificados dependen de si se usa VMCA como entidad de certificación intermedia o si se usan certificados personalizados. Los requisitos también son diferentes para los certificados de máquina y los certificados de usuario de solución.

Antes de comenzar, asegúrese de que la hora de todos los nodos del entorno esté sincronizada.

Requisitos para todos los certificados importados

  • Tamaño de clave: 2.048 bits o más (formato codificado PEM)

  • Formato PEM. VMware admite PKCS8 y PKCS1 (claves RSA). Cuando se agregan claves a VECS, se convierten en PKCS8.

  • x509 versión 3

  • SubjectAltName debe contener DNS Name=machine_FQDN

  • Formato CRT

  • Contiene los siguientes usos de claves: firma digital, cifrado de clave.

  • La autenticación de cliente y la autenticación de servidor no pueden estar presentes en el uso mejorado de claves.

VMCA no admite los siguientes certificados.

  • Certificados con comodines

  • No se recomiendan los algoritmos md2WithRSAEncryption 1.2.840.113549.1.1.2, md5WithRSAEncryption 1.2.840.113549.1.1.4 ni sha1WithRSAEncryption 1.2.840.113549.1.1.5.

  • El algoritmo RSASSA-PSS con el OID 1.2.840.113549.1.1.10 no es compatible.

Cumplimiento del certificado con RFC 2253

El certificado debe cumplir con RFC 2253.

Si no genera solicitudes de firma de certificados (Certificate Signature Request, CSR) con Certificate Manager, asegúrese de que la CSR incluya los siguientes campos.

Cadena

Tipo de atributo X.500

CN

commonName

L

localityName

ST

stateOrProvinceName

O

organizationName

OU

organizationalUnitName

C

countryName

CALLE

streetAddress

DC

domainComponent

UID

userid

Si genera CSR mediante Certificate Manager, se le pedirá la siguiente información y Certificate Manager agregará los campos correspondientes al archivo de CSR.

  • La contraseña del usuario administrator@vsphere.local o del administrador del dominio de vCenter Single Sign-On al que se va a conectar.

  • Cuando se desea generar una CSR en un entorno con una instancia externa de Platform Services Controller, se solicita el nombre de host o la dirección IP de Platform Services Controller.

  • Información que Certificate Manager almacena en el archivo certool.cfg. En la mayoría de los campos, se puede aceptar el valor predeterminado o proporcionar valores específicos del sitio. Se requiere el FQDN de la máquina.

    • Contraseña de administrator@vsphere.local.

    • Código de país de dos letras

    • Nombre de empresa

    • Nombre de organización

    • Unidad de organización

    • Estado

    • Localidad

    • Dirección IP (opcional)

    • Correo electrónico

    • Nombre del host, es decir, el nombre de dominio completo de la máquina para la que se desea reemplazar el certificado. Si el nombre del host no coincide con el FQDN, el reemplazo de los certificados no se completa correctamente y el entorno puede quedar en un estado inestable.

    • Dirección IP de Platform Services Controller si se ejecuta el comando en un nodo de vCenter Server (administración)

Requisitos al usar VMCA como entidad de certificación intermedia

Cuando se utiliza VMCA como entidad de certificación intermedia, los certificados deben cumplir los siguientes requisitos.

Tipo de certificado

Requisitos de certificados

Certificado raíz

  • Se puede utilizar vSphere Certificate Manager para crear la CSR. Consulte Generar una CSR con vSphere Certificate Manager y preparar certificados raíz (CA intermedia)

  • Si prefiere crear la CSR de forma manual, el certificado que envíe para firmar debe cumplir con los siguientes requisitos.

    • Tamaño de clave: 2.048 bits o más

    • Formato PEM. VMware admite PKCS8 y PKCS1 (claves RSA). Cuando se agregan claves a VECS, se convierten en PKCS8

    • x509 versión 3

    • Si utiliza certificados personalizados, la extensión CA debe establecerse con el valor true para certificados de raíz, y el signo cert debe estar en la lista de requisitos.

    • La firma CRL debe estar habilitada.

    • El uso mejorado de clave no debe contener autenticación de cliente ni autenticación de servidor.

    • No hay límite explícito a la longitud de la cadena de certificados. VMCA utiliza el valor predeterminado de OpenSSL, que es de diez certificados.

    • No se admiten los certificados con comodines o con más de un nombre DNS.

    • No se pueden crear CA subsidiarias de VMCA.

      Para obtener un ejemplo de uso de Microsoft Certificate Authority, consulte el artículo 2112009 de la base de conocimientos de VMware, Cómo crear una plantilla de Microsoft Certificate Authority para la creación de certificados SSL en vSphere 6.0.

Certificado SSL de máquina

Se puede utilizar vSphere Certificate Manager para crear la solicitud CSR o crear manualmente la CSR.

Si crea manualmente la CSR, esta debe cumplir con los requisitos enumerados en la sección Requisitos para todos los certificados importados que se muestra arriba. También tendrá que especificar el FQDN del host.

Certificado de usuario de solución

Se puede utilizar vSphere Certificate Manager para crear la solicitud CSR o crear manualmente la CSR.

Nota:

Debe utilizar un valor diferente en el nombre para cada usuario de solución. Si genera el certificado manualmente, es posible que esto se muestre como CN en el asunto, según la herramienta que utilice.

Si utiliza vSphere Certificate Manager, la herramienta le solicitará información del certificado para cada usuario de solución. vSphere Certificate Manager almacena la información en certool.cfg. Consulte la información que solicita Certificate Manager.

Requisitos de certificados personalizados

Si desea utilizar certificados personalizados, los certificados deben cumplir los siguientes requisitos.

Tipo de certificado

Requisitos de certificados

Certificado SSL de máquina

El certificado SSL de máquina en cada nodo debe tener un certificado independiente de la entidad de certificación empresarial o externa.

  • Puede generar la CSR mediante vSphere Certificate Manager o crearla de forma manual. La CSR debe cumplir con los requisitos enumerados en Requisitos para todos los certificados importados que se muestra arriba.

  • Si utiliza vSphere Certificate Manager, la herramienta le solicitará información del certificado para cada usuario de solución. vSphere Certificate Manager almacena la información en certool.cfg. Consulte la información que solicita Certificate Manager.

  • En la mayoría de los campos, se puede aceptar el valor predeterminado o proporcionar valores específicos del sitio. Se requiere el FQDN de la máquina.

Certificado de usuario de solución

Cada usuario de solución en cada nodo debe tener un certificado independiente de la entidad de certificación empresarial o externa.

  • Puede generar la CSR mediante vSphere Certificate Manager o prepararla usted mismo. La CSR debe cumplir con los requisitos enumerados en Requisitos para todos los certificados importados que se muestra arriba.

  • Si utiliza vSphere Certificate Manager, la herramienta le solicitará información del certificado para cada usuario de solución. vSphere Certificate Manager almacena la información en certool.cfg. Consulte la información que solicita Certificate Manager.

    Nota:

    Debe utilizar un valor diferente en el nombre para cada usuario de solución. Si genera el certificado manualmente, es posible que esto se muestre como CN en el asunto, según la herramienta que utilice.

Cuando reemplace posteriormente los certificados de usuario de solución por certificados personalizados, proporcione la cadena de certificados de firma completa de la entidad de certificación externa.

Nota:

No utilice los puntos de distribución de CRL, el acceso a la información de autoridad o la información de la plantilla de certificado en ningún certificado personalizado.