VMware Certificate Authority (VMCA) aprovisiona su entorno con certificados. Entre ellos se encuentran certificados SSL de equipos para conexiones seguras, certificados de usuarios de solución para la autenticación de servicios ante vCenter Single Sign-On y certificados para hosts ESXi.

Los siguientes certificados están en uso.
Tabla 1. Certificados en vSphere
Certificado Aprovisionado Comentarios
Certificados de ESXi VMCA (valor predeterminado) Almacenados localmente en el host ESXi.
Certificados SSL de máquina VMCA (valor predeterminado) Almacenados en VECS.
Certificados de usuarios de solución VMCA (valor predeterminado) Almacenados en VECS.
Certificado de firma SSL vCenter Single Sign-On Aprovisionado durante la instalación. Administre este certificado en la línea de comandos.
Nota: No cambie este certificado en el sistema de archivos, ya que podría producirse un comportamiento impredecible.
Certificado SSL de VMware Directory Service (VMDIR) Aprovisionado durante la instalación. A partir de vSphere 6.5, el certificado SSL del equipo se usa como certificado de vmdir.
Certificados autofirmados por SMS Aprovisionado durante el registro del proveedor de filtro de E/S. En vSphere 7.0 y versiones posteriores, los certificados autofirmados por SMS se almacenan en /etc/vmware/ssl/iofiltervp_castore.pem. Antes de vSphere 7.0, los certificados autofirmados por SMS se almacenan en /etc/vmware/ssl/castore.pem. Además, el almacén de SMS también puede almacenar los certificados autofirmados del proveedor VASA de VVOL (versión 4.0 y anteriores) cuando retainVasaProviderCertificate=True.

ESXi

Los certificados de ESXi se almacenan localmente en cada host del directorio /etc/vmware/ssl. Los certificados de ESXi son aprovisionados por VMCA de manera predeterminada, pero se pueden utilizar certificados personalizados. Los certificados de ESXi se aprovisionan cuando se agrega el host por primera vez a vCenter Server y cuando el host se vuelve a conectar.

Certificados SSL de máquina

El certificado SSL de máquina de cada nodo se utiliza para crear un socket de SSL en el lado del servidor. Los clientes SSL se conectan con el socket SSL. El certificado se utiliza para comprobar el servidor y establecer una comunicación segura mediante los protocolos HTTPS o LDAPS.

Cada nodo de vCenter Server tiene su propio certificado SSL de máquina. Todos los servicios que se ejecutan en un nodo de vCenter Server utilizan el certificado SSL de máquina para exponer sus endpoints SSL.

Los siguientes servicios utilizan el certificado SSL de máquina.
  • El servicio de proxy inverso. Las conexiones SSL a los servicios individuales de vCenter siempre van al proxy inverso. El tráfico no va a los servicios en sí.
  • El servicio vCenter Server (vpxd).
  • VMware Directory Service (vmdir).

Los productos de VMware utilizan certificados X.509 versión 3 (X.509v3) estándar para cifrar la información de sesión. La información de sesión se envía mediante SSL entre los componentes.

Certificados de usuarios de solución

Un usuario de solución encapsula uno o varios servicios de vCenter Server. Cada usuario de solución debe estar autenticado en vCenter Single Sign-On. Los usuarios de solución utilizan certificados para autenticar vCenter Single Sign-On a través del intercambio de token SAML.

Un usuario de solución presenta el certificado ante vCenter Single Sign-On cuando debe autenticarse por primera vez, después de un reinicio y de transcurrido un tiempo de espera. El tiempo de espera (tiempo de espera Holder-of-Key) puede establecerse desde vSphere Client y su valor predeterminado es 2.592.000 segundos (30 días).

Por ejemplo, el usuario de solución vpxd presenta su certificado en vCenter Single Sign-On al conectarse a vCenter Single Sign-On. El usuario de solución vpxd recibe un token SAML de vCenter Single Sign-On y, a continuación, puede utilizarlo para autenticarse en otros servicios y usuarios de solución.

En VECS, se incluyen los siguientes almacenes de certificados de usuarios de solución:

  • machine: lo utilizan el servidor de licencias y el servicio de registro.
    Nota: El certificado de usuario de solución de la máquina no tiene relación alguna con el certificado SSL de máquina. El certificado de usuario de solución de la máquina se utiliza para el intercambio de tokens SAML, mientras que el certificado SSL de máquina se utiliza para las conexiones SSL seguras de una máquina.
  • vpxd: almacén de daemon del servicio vCenter (vpxd). vpxd utiliza el certificado de usuario de solución que está almacenado en este almacén para autenticarse en vCenter Single Sign-On.
  • vpxd-extension: almacén de extensiones de vCenter. Incluye el servicio de Auto Deploy, el servicio de inventario u otros servicios que no forman parte de otros usuarios de solución.
  • vsphere-webclient: almacén de vSphere Client. También incluye algunos servicios adicionales como el servicio de gráficos de rendimiento.
  • wcp: VMware vSphere® con almacén de VMware Tanzu™.

Certificados internos

Los certificados de vCenter Single Sign-On no se almacenan en VECS y no se administran con herramientas de administración de certificados. Como regla general, no es necesario hacer cambios, pero en situaciones especiales, estos certificados se pueden reemplazar.
Certificado de firma de vCenter Single Sign-On
El servicio vCenter Single Sign-On incluye un servicio de proveedor de identidad que emite tokens SAML utilizados para la autenticación en todo el sistema vSphere. Un token SAML representa la identidad del usuario y, a su vez, contiene información sobre la pertenencia a los grupos. Cuando vCenter Single Sign-On emite tokens SAML, firma cada token con su certificado de firma, de modo que los clientes de vCenter Single Sign-On pueden comprobar que el token SAML proviene de un origen confiable.
Este certificado se puede reemplazar desde la CLI. Consulte Reemplazar un certificado vCenter Server STS mediante la línea de comandos.
Certificado SSL de VMware Directory Service
A partir de vSphere 6.5, el certificado SSL del equipo se usa como certificado de directorio de VMware. Para versiones anteriores de vSphere, consulte la documentación correspondiente.
Certificados de cifrado de máquinas virtuales de vSphere
La solución de cifrado de máquinas virtuales de vSphere se conecta con un servidor de administración de claves (Key Management Server, KMS) externo. Según la manera en que la solución se autentique ante el KMS, puede generar certificados y almacenarlos en VECS. Consulte la documentación de Seguridad de vSphere.