De manera predeterminada, el servidor Auto Deploy aprovisiona cada host con certificados firmados por VMCA. Es posible configurar el servidor Auto Deploy para que aprovisione todos los hosts con certificados personalizados que no estén firmados por VMCA. En ese caso, el servidor Auto Deploy se transforma en una entidad de certificación subordinada a la entidad de certificación externa.

Requisitos previos

  • Solicite a la CA un certificado. El certificado debe cumplir con estos requisitos.
    • Tamaño de clave: 2.048 bits o más (formato codificado PEM)
    • Formato PEM. VMware admite PKCS8 y PKCS1 (claves RSA). Cuando se agregan claves a VECS, se convierten en PKCS8.
    • x509 versión 3
    • Para los certificados raíz, la extensión CA se debe establecer en true y el signo cert debe estar en la lista de requisitos.
    • SubjectAltName debe contener DNS Name=<machine_FQDN>
    • Formato CRT
    • Contiene los siguientes usos de claves: firma digital, no repudio, cifrado de clave
    • Hora de inicio de un día anterior a la hora actual
    • CN (y SubjectAltName) establecidos con el nombre de host (o dirección IP) que el host ESXi tiene en el inventario de vCenter Server.
  • Asigne un nombre para el certificado y los archivos de claves rbd-ca.crt y rbd-ca.key.

Procedimiento

  1. Realice una copia de seguridad de los certificados de ESXi predeterminados.
    Los certificados están en el directorio /etc/vmware-rbd/ssl/.
  2. Desde vSphere Web Client, detenga el servicio de Auto Deploy.
    1. Seleccione Administración y haga clic en Configuración del sistema en Implementación.
    2. Haga clic en Servicios.
    3. Haga clic con el botón derecho en el servicio que desee detener y seleccione Detener.
  3. En el sistema donde se ejecuta el servicio de Auto Deploy, reemplace rbd-ca.crt y rbd-ca.key en /etc/vmware-rbd/ssl/ por el certificado personalizado y los archivos de claves.
  4. En el sistema donde se ejecuta el servicio de Auto Deploy, ejecute el siguiente comando a fin de actualizar el almacén TRUSTED_ROOTS en VECS para utilizar los nuevos certificados.
    Opción Descripción
    Windows
    cd C:\Program Files\VMware\vCenter Server\vmafdd\vecs-cli.exe
    vecs-cli entry delete --store TRUSTED_ROOTS --alias rbd_cert  
    vecs-cli entry create --store TRUSTED_ROOTS --alias rbd_cert 
    --cert /etc/vmware-rbd/ssl/rbd-ca.crt
    Linux
    cd /usr/lib/vmware-vmafd/bin/vecs-cli
    vecs-cli entry delete --store TRUSTED_ROOTS --alias	rbd_cert  
    vecs-cli entry create --store TRUSTED_ROOTS --alias	rbd_cert 
    --cert /etc/vmware-rbd/ssl/rbd-ca.crt
  5. Cree un archivo castore.pem que incluya el contenido del almacén TRUSTED_ROOTS y coloque el archivo en el directorio /etc/vmware-rbd/ssl/.
    En el modo personalizado, usted es responsable de mantener este archivo.
  6. Cambie el modo de certificación de ESXi del sistema de vCenter Server a custom.
  7. Reinicie el servicio de vCenter Server e inicie el servicio de Auto Deploy.

Resultados

La próxima vez que aprovisione un host que esté configurado para usar Auto Deploy, el servidor Auto Deploy generará un certificado. El servidor Auto Deploy utiliza el certificado de raíz que acaba de agregar al almacén TRUSTED_ROOTS.

Nota: Si tiene problemas con Auto Deploy después de reemplazar los certificados, consulte el artículo 2000988 de la base de conocimientos de VMware.