A partir de vSphere 6.0, los hosts ESXi están aprovisionados de forma predeterminada con certificados de VMCA. En lugar de eso, es posible usar el modo de certificación personalizada o, con fines de depuración, el modo de huella digital heredado. En la mayoría de los casos, los cambios de modo son disruptivos e innecesarios. Si el cambio de modo es necesario, revise el posible impacto que puede provocar antes de realizarlo.
Modo de certificación | Descripción |
---|---|
VMware Certificate Authority (predeterminada) | De forma predeterminada, se usa VMware Certificate Authority para los certificados de hosts ESXi. VMCA es la entidad de certificación raíz predeterminada, pero se puede configurar como la entidad de certificación intermedia de otra entidad. En este modo, los usuarios pueden administrar los certificados desde vSphere Web Client. También se usa si VMCA es un certificado subordinado. |
Entidad de certificación personalizada | Algunos clientes pueden preferir administrar su propia entidad de certificación externa. En este modo, los clientes son responsables de administrar los certificados y no pueden hacerlo desde vSphere Web Client. |
Modo de huella digital | vSphere 5.5 usaba el modo de huella digital, el cual todavía está disponible como opción de reserva para vSphere 6.0. No utilice este modo a menos que encuentre problemas que no puede resolver con uno de los otros dos modos. Algunos servicios de vCenter 6.0 y de versiones posteriores pueden funcionar de forma incorrecta en el modo de huella digital. |
Usar certificados ESXi personalizados
Si la directiva de la empresa exige que se use una entidad de certificación raíz distinta de VMCA, puede cambiar el modo de certificación en el entorno después de una minuciosa planificación. El siguiente es el flujo de trabajo recomendado.
- Obtenga los certificados que desea utilizar.
- Coloque el host o los hosts en modo de mantenimiento y desconéctelos de vCenter Server.
- Agregue el certificado raíz de la entidad de certificación personalizada a VECS.
- Implemente los certificados de la entidad de certificación personalizada en cada host y reinicie los servicios de dicho host.
- Cambie al modo de entidad de certificación personalizada. Consulte Cambiar el modo de certificado.
- Conecte el host o los hosts al sistema de vCenter Server.
Cambiar del modo de entidad de certificación personalizada al modo VMCA
Si está usando el modo de entidad de certificación personalizada y cree que el modo VMCA puede funcionar mejor en su entorno, puede realizar el cambio de modo después de una minuciosa planificación. El siguiente es el flujo de trabajo recomendado.
- Quite todos los hosts del sistema vCenter Server.
- En el sistema vCenter Server, elimine de VECS el certificado raíz de la entidad de certificación externa.
- Cambie al modo VMCA. Consulte Cambiar el modo de certificado.
- Agregue los hosts al sistema vCenter Server.
Conservar los certificados del modo de huella digital durante la actualización
El cambio del modo VMCA al modo de huella digital puede resultar necesario si se producen problemas con los certificados de VMCA. En el modo de huella digital, el sistema vCenter Server comprueba que exista un solo certificado y que su formato sea el correcto, pero no comprueba si el certificado es válido. Consulte Cambiar el modo de certificado para obtener instrucciones.
Cambiar del modo de huella digital al modo VMCA
Si usa el modo de huella digital y desea comenzar a usar certificados firmados por VMCA, debe planificar un poco el cambio. El siguiente es el flujo de trabajo recomendado.
- Quite todos los hosts del sistema vCenter Server.
- Cambie al modo de certificación de VMCA. Consulte Cambiar el modo de certificado.
- Agregue los hosts al sistema vCenter Server.
Cambiar del modo de entidad de certificación personalizada al modo de huella digital
Si experimenta problemas con la entidad de certificación personalizada, considere cambiar temporalmente al modo de huella digital. El cambio se ejecutará sin problemas si sigue las instrucciones detalladas en Cambiar el modo de certificado. Después de cambiar el modo, el sistema vCenter Server comprueba solamente el formato del certificado y ya no comprueba la validez del certificado.
Cambiar del modo de huella digital al modo de entidad de certificación personalizada
Si establece el entorno en el modo de huella digital durante la solución de problemas y desea comenzar a usar el modo de entidad de certificación personalizada, primero debe generar los certificados necesarios. El siguiente es el flujo de trabajo recomendado.
- Quite todos los hosts del sistema vCenter Server.
- Agregue el certificado raíz de la entidad de certificación personalizada al almacén TRUSTED_ROOTS de VECS en el sistema vCenter Server. Consulte Actualizar el almacén TRUSTED_ROOTS de vCenter Server (certificados personalizados).
- En cada host ESXi:
- Implemente la clave y el certificado de la entidad de certificación personalizada.
- Reinicie los servicios del host.
- Cambie al modo personalizado. Consulte Cambiar el modo de certificado.
- Agregue los hosts al sistema vCenter Server.