De manera predeterminada, el servidor Auto Deploy aprovisiona cada host con certificados firmados por VMCA. Es posible configurar el servidor Auto Deploy para que aprovisione todos los hosts con certificados personalizados que no estén firmados por VMCA. En ese caso, el servidor Auto Deploy se transforma en una entidad de certificación subordinada a la entidad de certificación externa.

Requisitos previos

  • Solicite a la CA un certificado. El certificado debe cumplir con estos requisitos.
    • Tamaño de clave: 2.048 bits o más (formato codificado PEM)
    • Formato PEM. VMware admite PKCS8 y PKCS1 (claves RSA). Cuando se agregan claves a VECS, se convierten en PKCS8.
    • x509 versión 3
    • Para los certificados raíz, la extensión CA se debe establecer en true y el signo cert debe estar en la lista de requisitos.
    • SubjectAltName debe contener DNS Name=<machine_FQDN>.
    • Formato CRT
    • Contiene los siguientes usos de claves: firma digital, no repudio, cifrado de clave
    • Hora de inicio de un día anterior a la hora actual.
    • CN (y SubjectAltName) establecidos con el nombre de host (o dirección IP) que el host ESXi tiene en el inventario de vCenter Server.
  • Asigne un nombre para el certificado y los archivos de claves rbd-ca.crt y rbd-ca.key.

Procedimiento

  1. Realice una copia de seguridad de los certificados de ESXi predeterminados.
    Los certificados están en el directorio /etc/vmware-rbd/ssl/.
  2. Detenga el servicio de vSphere Authentication Proxy.
    Herramienta Pasos
    Interfaz de administración de vCenter Server Appliance (VAMI)
    1. En un explorador web, vaya a la interfaz de administración de vCenter Server Appliance, https://dirección-IP-o-FQDN-de-dispositivo:5480.
    2. Inicie sesión como raíz.

      La contraseña raíz predeterminada es la que estableció al implementar vCenter Server Appliance.

    3. Haga clic en Servicios y en el servicio VMware vSphere Authentication Proxy.
    4. Haga clic en Detener.
    vSphere Web Client
    1. Seleccione Administración y haga clic en Configuración del sistema en Implementación.
    2. Haga clic en Servicios y en el servicio VMware vSphere Authentication Proxy.
    3. Haga clic en el icono rojo Detener el servicio.
    CLI
    service-control --stop vmcam
    
  3. En el sistema donde se ejecuta el servicio de Auto Deploy, reemplace rbd-ca.crt y rbd-ca.key en /etc/vmware-rbd/ssl/ por el certificado personalizado y los archivos de claves.
  4. En el sistema donde se ejecuta el servicio de Auto Deploy, ejecute los siguientes comandos a fin de actualizar el almacén TRUSTED_ROOTS en VECS para utilizar los nuevos certificados.
    Opción Descripción
    Windows
    cd "C:\Program Files\VMware\vCenter Server\vmafdd\"
    .\dir-cli.exe trustedcert publish --cert C:\ProgramData\VMware\vCenterServer\data\autodeploy\ssl\rbd-ca.crt
    .\vecs-cli force-refresh
    Linux
    /usr/lib/vmware-vmafd/bin/dir-cli trustedcert publish --cert /etc/vmware-rbd/ssl/rbd-ca.crt
    /usr/lib/vmware-vmafd/bin/vecs-cli force-refresh
  5. Cree un archivo castore.pem que incluya el contenido del almacén TRUSTED_ROOTS y coloque el archivo en el directorio /etc/vmware-rbd/ssl/.
    En el modo personalizado, usted es responsable de mantener este archivo.
  6. Cambie el modo de certificación de ESXi del sistema de vCenter Server a custom.
  7. Reinicie el servicio de vCenter Server e inicie el servicio de Auto Deploy.

Resultados

La próxima vez que aprovisione un host que esté configurado para usar Auto Deploy, el servidor Auto Deploy generará un certificado. El servidor Auto Deploy utiliza el certificado de raíz que acaba de agregar al almacén TRUSTED_ROOTS.

Nota: Si tiene problemas con Auto Deploy después de reemplazar el certificado, consulte el artículo de la base de conocimientos de VMware en http://kb.vmware.com/kb/2000988.