Puede utilizar certificados personalizados de una CA de la empresa o externa. El primer paso es solicitar los certificados a la entidad de certificación e importar los certificados raíz en VMware Endpoint Certificate Store (VECS).

Requisitos previos

El certificado debe cumplir con los siguientes requisitos:

  • Tamaño de clave: 2.048 bits o más (formato codificado PEM)
  • Formato PEM. VMware admite PKCS8 y PKCS1 (claves RSA). Cuando se agregan claves a VECS, se convierten en PKCS8.
  • x509 versión 3
  • Para los certificados raíz, la extensión CA se debe establecer en true y el signo cert debe estar en la lista de requisitos.
  • SubjectAltName debe contener DNS Name=<machine_FQDN>.
  • Formato CRT
  • Contiene los siguientes usos de claves: firma digital, cifrado de clave
  • Hora de inicio de un día anterior a la hora actual.
  • CN (y SubjectAltName) establecidos con el nombre de host (o dirección IP) que el host ESXi tiene en el inventario de vCenter Server.

Procedimiento

  1. Envíe las solicitudes de firma de certificados (Certificate Signing Requests, CSR) para los siguientes certificados al proveedor de certificados de la empresa o externo.
    • Un certificado SSL de máquina para cada máquina. Para el certificado SSL de máquina, el campo SubjectAltName debe contener el nombre de dominio completo (DNS NAME=FQDN_de_máquina).
    • De forma opcional, cuatro certificados de usuario de solución para cada sistema o nodo de administración integrados. Los certificados de usuario de solución no deben incluir dirección IP, nombre de host ni dirección de correo electrónico. Cada certificado debe tener un asunto de certificado diferente.
    • De forma opcional, un certificado de usuario de la solución de máquina para las instancias de Platform Services Controller externas. Este certificado es distinto del certificado SSL de máquina para Platform Services Controller.

    Generalmente, el resultado es un archivo PEM para la cadena de confianza, junto con los certificados SSL firmados para cada sistema Platform Services Controller o nodo de administración.

  2. Enumere los almacenes TRUSTED_ROOTS y SSL de máquina. 
    vecs-cli store list
    1. Asegúrese de que el certificado raíz actual y todos los certificados SSL de máquina estén firmados por VMCA.
    2. Anote el contenido de los campos Número de serie, Emisor y Nombre común de asunto.
    3. (opcional) Con un explorador web, abra una conexión HTTPS al nodo en el que se reubicará el certificado, compruebe la información del certificado y asegúrese de que esta coincida con la del certificado SSL de máquina.
  3. Detenga todos los servicios e inicie los servicios que se ocupan de la creación, de la propagación y del almacenamiento de certificados.
    Los nombres de servicios en Windows no son los mismos que en vCenter Server Appliance.
    Nota: Si el entorno utiliza una instancia externa de Platform Services Controller, no es necesario detener e iniciar VMware Directory Service (vmdird) ni VMware Certificate Authority (vmcad) en el nodo de vCenter Server. Estos servicios se ejecutan en Platform Services Controller.
    Windows 
    service-control --stop --all
service-control --start VMWareAfdService
service-control --start VMWareDirectoryService
service-control --start VMWareCertificateService
    vCenter Server Appliance 
    service-control --stop --all
service-control --start vmafdd
service-control --start vmdird
service-control --start vmcad
  4. Publique el certificado raíz personalizado. 
    dir-cli trustedcert publish --cert <my_custom_root>
    Si no especifica un nombre de usuario y una contraseña en la línea de comandos, el sistema se lo solicitará.
  5. Reinicie todos los servicios. 
    service-control --start --all

Qué hacer a continuación

Se puede quitar el certificado raíz original de VMCA del almacén de certificados si así lo establece la directiva de la empresa. Si se hace eso, es necesario actualizar el certificado de vCenter Single Sign-On. Consulte Actualizar el certificado del servicio de token de seguridad.