El primer paso para reemplazar los certificados VMCA por certificados personalizados es generar una CSR mediante el envío de la CSR que se debe firmar. A continuación, el certificado firmado se agrega a VMCA como certificado raíz.
Se puede utilizar la utilidad Certificate Manager u otra herramienta para generar la CSR. La CSR debe cumplir con los siguientes requisitos:
- Tamaño de clave: 2.048 bits o más
- Formato PEM. VMware admite PKCS8 y PKCS1 (claves RSA). Cuando se agregan claves a VECS, se convierten en PKCS8.
- x509 versión 3
- Si utiliza certificados personalizados, la extensión CA debe establecerse con el valor true para certificados de raíz, y el signo cert debe estar en la lista de requisitos.
- La firma CRL debe estar habilitada.
- El uso mejorado de clave puede estar vacío o contener autenticación del servidor.
- No hay límite explícito a la longitud de la cadena de certificados. VMCA utiliza el valor predeterminado de OpenSSL, que es de diez certificados.
- No se admiten los certificados con comodines o con más de un nombre DNS.
- No se pueden crear CA subsidiarias de VMCA.
Para obtener un ejemplo de uso de la entidad de certificación de Microsoft, consulte el artículo de la base de conocimientos de VMware en http://kb.vmware.com/kb/2112009, Crear una plantilla de entidad de certificación de Microsoft para creación de certificados SSL en vSphere 6.0.
VMCA valida los siguientes atributos de certificados al reemplazar el certificado raíz:
- Tamaño de clave de 2048 bits o más
- Uso de clave: firma de certificado
- Restricción básica: entidad de certificación de tipo sujeto
Procedimiento
- Genere una CSR y envíela a la entidad de certificación.
Siga las instrucciones de la entidad de certificación.
- Prepare un archivo de certificado que incluya el certificado VMCA firmado y la cadena de entidad de certificación completa de la entidad de certificación empresarial o de terceros. Guarde el archivo, por ejemplo como rootca1.crt.
Para aplicar este paso, se pueden copiar todos los certificados de la entidad de certificación en formato PEM en un solo archivo. Comience con el certificado raíz VMCA y termine con el certificado raíz PEM de la entidad de certificación. Por ejemplo:
-----BEGIN CERTIFICATE-----
<Certificate of VMCA>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<Certificate of intermediary CA>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<Certificate of Root CA>
-----END CERTIFICATE-----
- Detenga todos los servicios e inicie los servicios que se ocupan de la creación, de la propagación y del almacenamiento de certificados.
Los nombres de servicios en Windows no son los mismos que en
vCenter Server Appliance.
Nota: Si el entorno utiliza una instancia externa de
Platform Services Controller, no es necesario detener e iniciar VMware Directory Service (vmdird) ni VMware Certificate Authority (vmcad) en el nodo de
vCenter Server. Estos servicios se ejecutan en
Platform Services Controller.
-
Windows
-
service-control --stop --all
service-control --start VMWareAfdService
service-control --start VMWareDirectoryService
service-control --start VMWareCertificateService
-
vCenter Server Appliance
-
service-control --stop --all
service-control --start vmafdd
service-control --start vmdird
service-control --start vmcad
- Reemplace la entidad de certificación raíz VMCA existente.
certool --rootca --cert=rootca1.crt --privkey=root1.key
Al ejecutarse, este comando realiza lo siguiente:
- Agrega el nuevo certificado raíz personalizado a la ubicación de certificados en el sistema de archivos.
- Anexa el certificado raíz personalizado al almacén TRUSTED_ROOTS en VECS (después de una demora).
- Agrega el certificado raíz personalizado a vmdir (después de una demora).
- (opcional) Para propagar el cambio a todas las instancias de vmdir (VMware Directory Service), publique el nuevo certificado raíz en vmdir suministrando la ruta de acceso para cada archivo.
Por ejemplo:
dir-cli trustedcert publish --cert rootca1.crt
Cada 30 segundos se produce la replicación entre los nodos de vmdir. No se necesita agregar el certificado raíz a VECS explícitamente, ya que VECS sondea vmdir cada 5 minutos en busca de nuevos archivos de certificados raíz.
- (opcional) Si fuera necesario, se puede forzar la actualización de VECS.
- Reinicie todos los servicios.
service-control --start --all
Ejemplo: Reemplazo del certificado raíz
Reemplace el certificado raíz de VMCA por el certificado raíz personalizado de la entidad de certificación mediante el comando certool con la opción --rootca.
C:\>"C:\Program Files\VMware\vCenter Server\vmcad\certool" --rootca --cert=C:\custom-certs\root.pem -–privkey=C:\custom-certs\root.key
Al ejecutarse, este comando realiza lo siguiente:
- Agrega el nuevo certificado raíz personalizado a la ubicación de certificados en el sistema de archivos.
- Anexa el certificado raíz personalizado al almacén TRUSTED_ROOTS en VECS.
- Agrega el certificado raíz personalizado a vmdir.
Qué hacer a continuación
Se puede eliminar el certificado raíz original de VMCA del almacén de certificados si así lo establece la directiva de la empresa. Si se hace eso, es necesario reemplazar el certificado de firma de vCenter Single Sign-On. Consulte Actualizar el certificado del servicio de token de seguridad.