Puede utilizar vSphere Certificate Manager para generar una solicitud de firma de certificados (Certificate Signing Requests, CSR) y enviarla a una entidad de certificación de la empresa o de terceros para la firma. A continuación, puede reemplazar el certificado raíz de VMCA por un certificado de firma personalizado y reemplazar todos los certificados existentes por certificados firmados por la entidad de certificación personalizada.

vSphere Certificate Manager se ejecuta en una instalación integrada o en una instancia externa de Platform Services Controller para reemplazar el certificado raíz de VMCA por un certificado de firma personalizado.

Requisitos previos

  • Genere la cadena de certificados.
    • Se puede utilizar vSphere Certificate Manager para crear la solicitud CSR o crear manualmente la CSR.
    • Después de recibir el certificado firmado de la entidad de certificación externa o empresarial, combínelo con el certificado raíz de VMCA inicial para crear la cadena completa.

      Consulte Generar una CSR con vSphere Certificate Manager y preparar certificados raíz (CA intermedia) para conocer los requisitos de certificación y el proceso para combinar los certificados.

  • Recopile la información que necesitará.
    • Contraseña de [email protected].
    • Un certificado personalizado válido para la raíz (archivo .crt).
    • La clave personalizada válida para la raíz (archivo .key).

Procedimiento

  1. Inicie vSphere Certificate Manager en una instalación integrada o en una instancia de Platform Services Controller externa y seleccione la opción 2.
  2. Seleccione nuevamente la opción 2 para iniciar el reemplazo de certificados y responder a las solicitudes.
    1. Especifique la ruta de acceso completa al certificado raíz cuando se le solicite.
    2. Si es la primera vez que reemplaza los certificados, se le solicitará información que se utilizará para el certificado SSL de máquina.
      Esta información incluye el FQDN obligatorio de la máquina y se almacena en el archivo certool.cfg.
  3. Si desea reemplazar el certificado raíz de Platform Services Controller en una implementación de varios nodos, siga estos pasos para cada nodo de vCenter Server.
    1. Reinicie los servicios en el nodo de vCenter Server.
    2. Regenere todos los certificados en la instancia de vCenter Servermediante las opciones 3 (Replace Machine SSL certificate with VMCA Certificate) y 6 (Replace Solution user certificates with VMCA certificates).
    Al reemplazar los certificados, VMCA firma con la cadena completa.

Qué hacer a continuación

Si desea realizar una actualización desde un entorno de vSphere 5.x, es posible que deba reemplazar el certificado de vCenter Single Sign-On dentro de vmdir. Consulte Reemplazar el certificado de VMware Directory Service en entornos de modo mixto.