Puede reemplazar los certificados firmados por VMCA predeterminados de ESXi en ESXi Shell.

Requisitos

  • Si desea usar certificados firmados por una entidad de certificación (CA) externa, genere la solicitud de certificación, envíela a la entidad de certificación y almacene los certificados en cada host ESXi.

  • De ser necesario, habilite ESXi Shell o el tráfico SSH desde vSphere Web Client. Consulte la publicación Seguridad de vSphere para obtener información sobre cómo habilitar el acceso a ESXi Shell.

  • Todas las transferencias de archivos y demás comunicaciones se realizan en una sesión de HTTPS segura. El usuario que se usa para autenticar la sesión debe tener el privilegio Host > Configuración > Configuración avanzada en el host. Consulte la publicación Seguridad de vSphere para obtener información sobre cómo asignar privilegios a través de funciones.

Procedimiento

  1. Inicie sesión en ESXi Shell, ya sea directamente desde la DCUI o desde un cliente de SSH, como un usuario con privilegios de administrador.
  2. En el directorio /etc/vmware/ssl, cambie el nombre de los certificados existentes con los siguientes comandos.

    mv rui.crt orig.rui.crt
    mv rui.key orig.rui.key

  3. Copie los certificados que desea utilizar en /etc/vmware/ssl.
  4. Cambie el nombre del certificado nuevo y de la clave por rui.crt y rui.key.
  5. Después de instalar el certificado nuevo, reinicie el host.

    Como alternativa, puede colocar el host en modo de mantenimiento, instalar el certificado nuevo, utilizar la interfaz de usuario de la consola directa (DCUI) para reiniciar los agentes de administración y, a continuación, establecer el host para que salga del modo de mantenimiento.

Qué hacer a continuación

Actualice el almacén vCenter Server TRUSTED_ROOTS. Consulte la publicación Seguridad de vSphere.