Muchas empresas solo requieren que reemplace los certificados de los servicios a los que se puede acceder externamente. Sin embargo, Certificate Manager también permite reemplazar certificados de usuarios de solución. Los usuarios de la solución son colecciones de servicios, por ejemplo, todos los servicios asociados con vSphere Client. En las implementaciones de varios nodos, reemplace el certificado de usuario de la solución de máquina en Platform Services Controller y el conjunto completo de usuarios de solución en cada nodo de administración.

Cuando se le solicite un certificado de usuario de solución, proporcione la cadena de certificados de firma completa de la entidad de certificación externa.

El formato debe ser similar al siguiente mensaje. 
-----BEGIN CERTIFICATE-----
Signing certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
CA intermediate certificates
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Root certificate of enterprise or external CA
-----END CERTIFICATE-----

Requisitos previos

Antes de comenzar, se necesita una CSR para cada máquina del entorno. La CSR se puede generar mediante vSphere Certificate Manager o de forma explícita.
  1. Para generar la CSR mediante vSphere Certificate Manager, consulte Generar solicitudes de firma de certificado con vSphere Certificate Manager (certificados personalizados).
  2. Solicite un certificado para cada usuario de solución en cada nodo a la CA empresarial o externa. Puede generar la CSR mediante vSphere Certificate Manager o prepararla usted mismo. La CSR debe cumplir con los siguientes requisitos:
    • Tamaño de clave: 2.048 bits o más (formato codificado PEM)
    • Formato CRT
    • x509 versión 3
    • SubjectAltName debe contener DNS Name=<machine_FQDN>.

    • Cada certificado de usuario de solución debe tener un Subject diferente. Por ejemplo, considere incluir el nombre de usuario de solución (como vpxd) u otro identificador único.

    • Contiene los siguientes usos de claves: firma digital, cifrado de clave

Consulte también el artículo de la base de conocimientos de VMware en http://kb.vmware.com/kb/2112014, Obtener certificados de vSphere de una entidad de certificación de Microsoft.

Procedimiento

  1. Inicie vSphere Certificate Manager y seleccione la opción 5.
  2. Seleccione la opción 2 para iniciar el reemplazo de certificados y responder a las solicitudes.
    vSphere Certificate Manager solicita la siguiente información:
    • Contraseña de [email protected].
    • Certificado y clave del usuario de solución de la máquina.
    • Si se ejecuta vSphere Certificate Manager en un nodo de Platform Services Controller, se solicita el certificado y la clave (vpxd.crt y vpxd.key) del usuario de solución de la máquina.
    • Si se ejecuta vSphere Certificate Manager en un nodo de administración o en una implementación integrada, se solicita el conjunto completo de certificados y claves (vpxd.crt y vpxd.key) de todos los usuarios de solución.

Qué hacer a continuación

Si desea realizar una actualización desde un entorno de vSphere 5.x, es posible que deba reemplazar el certificado de vCenter Single Sign-On dentro de vmdir. Consulte Reemplazar el certificado de VMware Directory Service en entornos de modo mixto.