De manera predeterminada, el servidor Auto Deploy aprovisiona cada host con certificados firmados por VMCA. Es posible configurar el servidor Auto Deploy para que aprovisione todos los hosts con certificados personalizados que no estén firmados por VMCA. En ese caso, el servidor Auto Deploy se transforma en una entidad de certificación subordinada a la entidad de certificación externa.
Requisitos previos
- Solicite a la CA un certificado. El certificado debe cumplir con estos requisitos.
- Tamaño de clave: 2.048 bits o más (formato codificado PEM)
- Formato PEM. VMware admite PKCS8 y PKCS1 (claves RSA). Cuando se agregan claves a VECS, se convierten en PKCS8.
- x509 versión 3
- Para los certificados raíz, la extensión CA se debe establecer en true y el signo cert debe estar en la lista de requisitos.
- SubjectAltName debe contener DNS Name=<machine_FQDN>
- Formato CRT
- Contiene los siguientes usos de claves: firma digital, no repudio, cifrado de clave
- Hora de inicio de un día anterior a la hora actual
- CN (y SubjectAltName) establecidos con el nombre de host (o dirección IP) que el host ESXi tiene en el inventario de vCenter Server.
- Asigne un nombre para el certificado y los archivos de claves rbd-ca.crt y rbd-ca.key.
Procedimiento
Resultados
La próxima vez que aprovisione un host que esté configurado para usar Auto Deploy, el servidor Auto Deploy generará un certificado. El servidor Auto Deploy utiliza el certificado de raíz que acaba de agregar al almacén TRUSTED_ROOTS.
Nota: Si tiene problemas con Auto Deploy después de reemplazar los certificados, consulte el
artículo 2000988 de la base de conocimientos de VMware.