En vSphere 6.0 y versiones posteriores, VMware Certificate Authority (VMCA) aprovisiona a cada host nuevo de ESXi con un certificado firmado cuya entidad de certificación raíz de forma predeterminada es VMCA. El aprovisionamiento ocurre cuando se agrega el host a vCenter Server explícitamente, o bien como parte de la instalación o la actualización a ESXi 6.0 o una versión posterior.

Puede ver y administrar certificados de ESXi desde vSphere Web Client y con la API de vim.CertificateManager en vSphere Web Services SDK. No puede ver ni administrar los certificados de ESXi por medio de las CLI de administración de certificados que están disponibles para administrar certificados de vCenter Server.

Certificados en vSphere 5.5 y en vSphere 6.x

Cuando ESXi y vCenter Server se comunican, utilizan TLS/SSL para casi todo el tráfico de administración.

En vSphere 5.5 y versiones anteriores, los extremos de TLS/SSL están protegidos únicamente por una combinación de nombre de usuario, contraseña y huella digital. Los usuarios pueden reemplazar los correspondientes certificados autofirmados por sus propios certificados. Consulte el centro de documentación de vSphere 5.5.

En vSphere 6.0 y versiones posteriores, vCenter Server admite los siguientes modos de certificación para los hosts ESXi.

Tabla 1. Modos de certificación para hosts ESXi

Modo de certificación

Descripción

VMware Certificate Authority (predeterminada)

Utilice este modo si VMCA aprovisiona a todos los hosts ESXi, ya sea como entidad de certificación intermedia o de nivel superior.

VMCA aprovisiona de forma predeterminada a los hosts ESXi con certificados.

En este modo, es posible actualizar y renovar los certificados desde vSphere Web Client.

Entidad de certificación personalizada

Utilice este modo si desea utilizar solamente certificados personalizados que estén firmados por una entidad de certificación externa o empresarial.

En este modo, usted es responsable de administrar los certificados. No puede actualizar ni renovar los certificados desde vSphere Web Client.

Nota:

A menos que cambie el modo de certificación al modo Entidad de certificación personalizada, VMCA podrá reemplazar los certificados personalizados, por ejemplo, al seleccionar Renovar en vSphere Web Client.

Modo de huella digital

vSphere 5.5 usaba el modo de huella digital, el cual todavía está disponible como opción de reserva para vSphere 6.x. En este modo, vCenter Server verifica que el certificado tenga el formato correcto, pero no verifica la validez del certificado. Se aceptan incluso los certificados que caducaron.

No utilice este modo a menos que detecte problemas con uno de los otros dos modos y no pueda solucionarlos. Algunos servicios de vCenter 6.x y de versiones posteriores pueden funcionar de forma incorrecta en el modo de huella digital.

Caducidad de los certificados

A partir de vSphere 6.0, puede ver información sobre la caducidad de los certificados firmados por VMCA o por una entidad de certificación externa en vSphere Web Client. Puede ver la información de todos los hosts administrados por vCenter Server o de hosts individuales. Una alarma de color amarillo se enciende si el certificado se encuentra en estado Por caducar en breve (dentro de menos de ocho meses). Una alarma de color rojo se enciende si el certificado se encuentra en estado Caducidad inminente (dentro de menos de dos meses).

Aprovisionar ESXi y VMCA

Cuando inicia un host ESXi desde los medios de instalación, el host en principio tiene un certificado autogenerado. Cuando se agrega el host al sistema vCenter Server, se le aprovisiona un certificado firmado por VMCA como entidad de certificación raíz.

El proceso es similar para los hosts aprovisionados con Auto Deploy. No obstante, dado que esos hosts no almacenan ningún estado, el servidor Auto Deploy almacena el certificado firmado en su almacén local de certificados. El certificado se vuelve a utilizar en los arranques subsiguientes de los hosts ESXi. Un servidor Auto Deploy forma parte de cualquier implementación integrada o sistema de vCenter Server.

Si VMCA no está disponible cuando un host Auto Deploy se inicia por primera vez, el host primero intenta conectarse. Si el host no puede conectarse, realiza un ciclo de apagado y reinicio hasta que VMCA está disponible y el host puede aprovisionarse con un certificado firmado.

Privilegios necesarios para la administración de certificados de ESXi

Para administrar certificados de los hosts ESXi, se debe tener el privilegio Certificados > Administrar certificados. Este privilegio se puede establecer desde vSphere Web Client.

Cambios en el nombre de host y la dirección IP

En vSphere 6.0 y versiones posteriores, un cambio en el nombre de host o la dirección IP podría afectar si vCenter Server considera que un certificado de host es válido o no. El modo en que se agregó el host a vCenter Server puede hacer que sea necesario una intervención manual. Por intervención manual se entiende que se debe volver a conectar el host, o bien se lo debe quitar de vCenter Server y volver a agregar.

Tabla 2. Cuando el nombre de host o la dirección IP se deben cambiar de forma manual

Se agregó un host a vCenter Server mediante...

Cambios en el nombre de host

Cambios en la dirección IP

Nombre de host

Problema de conectividad de vCenter Server. Se necesita una intervención manual.

No se debe realizar ninguna acción.

Dirección IP

No se debe realizar ninguna acción.

Problema de conectividad de vCenter Server. Se necesita una intervención manual.