La directiva de seguridad de su empresa puede requerir que reemplace el certificado SSL predeterminado de ESXi por un certificado firmado por una CA externa en cada host.

De forma predeterminada, los componentes de vSphere utilizan el certificado firmado por VMCA y la clave que se crean durante la instalación. Si elimina el certificado firmado por VMCA de forma accidental, quite el host de su sistema vCenter Server y vuelva a agregarlo. Al agregar el host, vCenter Server solicita un certificado nuevo de VMCA y aprovisiona el host con este certificado.

Reemplace los certificados firmados por VMCA por certificados de una CA de confianza, ya sea una CA comercial o una CA organizativa, si la directiva de su empresa lo requiere.

Los certificados predeterminados están en la misma ubicación que los certificados de vSphere 5.5. Puede reemplazar los certificados predeterminados por certificados de confianza de varias maneras.

Nota: También puede utilizar los objetos administrados vim.CertificateManager y vim.host.CertificateManager en vSphere Web Services SDK. Consulte la documentación de vSphere Web Services SDK.

Después de reemplazar el certificado, debe actualizar el almacén TRUSTED_ROOTS de VECS en el sistema vCenter Server que administra el host, para que vCenter Server y el host ESXi tengan una relación de confianza.

Para obtener instrucciones detalladas sobre el uso de certificados firmados por CA para los hosts ESXi, consulte Flujos de trabajo de cambio de modo de certificado.

Nota: Si va a reemplazar certificados SSL en un host ESXi que forma parte de un clúster de vSAN, siga los pasos que se indican en el artículo de la base de conocimientos de VMware en https://kb.vmware.com/s/article/56441.