El trabajo requerido para configurar o actualizar la infraestructura de certificados depende de los requisitos de su entorno. Debe tener en cuenta si se está realizando una instalación nueva o una actualización, y si se está considerando ESXi o vCenter Server.
Administradores que no reemplazan certificados de VMware
VMCA puede encargarse de toda la administración de certificados. VMCA aprovisiona a vCenter Server con componentes y hosts ESXi con certificados que usan VMCA como entidad de certificación raíz. Si está actualizando a vSphere 6 desde una versión anterior de vSphere, todos los certificados autofirmados se reemplazan con certificados firmados por VMCA.
Si actualmente no reemplaza certificados de VMware, el entorno comienza a usar certificados firmados por VMCA en lugar de certificados autofirmados.
Administradores que reemplazan certificados de VMware por certificados personalizados
Si la directiva de la empresa exige certificados firmados por una CA de terceros o empresarial, o que requieran información de certificados personalizados, existen varias opciones para una instalación nueva.
- Que el certificado raíz de VMCA sea firmado por una CA independiente o una CA empresarial. Reemplazar el certificado raíz de VMCA con ese certificado firmado. En este escenario, el certificado de VMCA es un certificado intermedio. VMCA aprovisiona a los componentes de vCenter Server y a los hosts ESXi con certificados que incluyen la cadena completa de certificados.
- Si la directiva de la empresa no permite certificados intermedios en la cadena, los certificados se pueden reemplazar de manera explícita. Puede usar la utilidad vSphere Client, vSphere Certificate Manager o realizar el reemplazo manual de los certificados mediante la CLI de administración de certificados.
Cuando actualice un entorno que usa certificados personalizados, puede retener algunos.
- Los hosts ESXi mantienen sus certificados personalizados durante la actualización. Asegúrese de que el proceso de actualización de vCenter Server agregue todos los certificados raíz relevantes al almacén TRUSTED_ROOTS en VECS en vCenter Server.
Después de la actualización a vSphere 6.0 o posteriores, se puede establecer el modo de certificado en Personalizado. Si el modo de certificación es el predeterminado (VMCA) y el usuario actualiza el certificado desde vSphere Client, los certificados firmados por VMCA reemplazan a los certificados personalizados.
- En el caso de los componentes de vCenter Server, lo que suceda dependerá del entorno actual.
- En una actualización de una instalación simple a una implementación integrada, vCenter Server retiene los certificados personalizados. Después de la actualización, el entorno funcionará como antes.
- Para una actualización de una implementación de varios sitios, vCenter Single Sign-On puede estar en un equipo diferente que otros componentes de vCenter Server. En ese caso, el proceso de actualización crea una implementación de varios nodos que incluye un nodo de Platform Services Controller y uno o varios nodos de administración.
Este escenario retiene los certificados de vCenter Server y vCenter Single Sign-On existentes. Los certificados se usan como certificados SSL de equipos.
Además, VMCA asigna un certificado firmado por VMCA a cada usuario de solución (recopilación de servicios de vCenter). El usuario de solución utiliza este certificado solo para autenticarse ante vCenter Single Sign-On. Con frecuencia, una directiva de la empresa no requiere el reemplazo de los certificados de usuarios de solución.
Ya no podrá usar la herramienta de reemplazo de certificados de vSphere 5.5, que estaba disponible para las instalaciones de vSphere 5.5. La nueva arquitectura resulta en una selección y distribución diferentes de los servicios. Una nueva utilidad de la línea de comandos, vSphere Certificate Manager, está disponible para la mayoría de las tareas de administración de certificados.
Interfaces de certificados de vSphere
| Interfaz | Uso |
|---|---|
| vSphere Client | Realice tareas de certificados comunes con una interfaz gráfica de usuario. |
| Utilidad vSphere Certificate Manager | Realice tareas de reemplazo de certificados comunes desde la línea de comandos de la instalación de vCenter Server. |
| CLI de administración de certificados | Realice todas las tareas de administración de certificados con dir-cli, certool y vecs-cli. |
| vSphere Web Client | Vea los certificados, incluida la información de caducidad. |
En el caso de ESXi, puede realizar la administración de certificados desde vSphere Client. VMCA aprovisiona certificados y los almacena localmente en el host ESXi. VMCA no almacena certificados de hosts ESXi en VMDIR o en VECS. Consulte la documentación de Seguridad de vSphere.
Certificados de vCenter admitidos
En el caso de vCenter Server, Platform Services Controller, y las máquinas y los servicios relacionados, se admiten los siguientes certificados:
- Certificados generados y firmados por la entidad de certificación VMware Certificate Authority (VMCA).
- Certificados personalizados.
- Certificados empresariales que se generan desde su propia PKI interna.
- Certificados externos firmados por una entidad de certificación que se genera mediante una PKI externa como Verisign, GoDaddy, etc.
No se admiten los certificados autofirmados que se crearon mediante OpenSSL donde no existe una entidad de certificación raíz.
