El trabajo requerido para configurar o actualizar la infraestructura de certificados depende de los requisitos de su entorno. Debe tener en cuenta si se está realizando una instalación nueva o una actualización, y si se está considerando ESXi o vCenter Server.
Administradores que no reemplazan certificados de VMware
VMCA puede encargarse de toda la administración de certificados. VMCA aprovisiona a vCenter Server con componentes y hosts ESXi con certificados que usan VMCA como entidad de certificación raíz. Si está actualizando a vSphere 6 desde una versión anterior de vSphere, todos los certificados autofirmados se reemplazan con certificados firmados por VMCA.
Si actualmente no reemplaza certificados de VMware, el entorno comienza a usar certificados firmados por VMCA en lugar de certificados autofirmados.
Administradores que reemplazan certificados de VMware por certificados personalizados
Si la directiva de la empresa exige certificados firmados por una CA de terceros o empresarial, o que requieran información de certificados personalizados, existen varias opciones para una instalación nueva.
- Que el certificado raíz de VMCA sea firmado por una CA independiente o una CA empresarial. Reemplazar el certificado raíz de VMCA con ese certificado firmado. En este escenario, el certificado de VMCA es un certificado intermedio. VMCA aprovisiona a los componentes de vCenter Server y a los hosts ESXi con certificados que incluyen la cadena completa de certificados.
- Si la directiva de la empresa no permite certificados intermedios en la cadena, los certificados se pueden reemplazar de manera explícita. Puede usar la utilidad vSphere Client, vSphere Certificate Manager o realizar el reemplazo manual de los certificados mediante la CLI de administración de certificados.
Cuando actualice un entorno que usa certificados personalizados, puede retener algunos.
- Los hosts ESXi mantienen sus certificados personalizados durante la actualización. Asegúrese de que el proceso de actualización de vCenter Server agregue todos los certificados raíz relevantes al almacén TRUSTED_ROOTS en VECS en vCenter Server.
Después de la actualización a vSphere 6.0 o posteriores, se puede establecer el modo de certificado en Personalizado. Si el modo de certificación es el predeterminado (VMCA) y el usuario actualiza el certificado desde vSphere Client, los certificados firmados por VMCA reemplazan a los certificados personalizados.
- En una actualización de una instalación simple de vCenter Servera una implementación integrada, vCenter Server retiene los certificados personalizados. Después de la actualización, el entorno funcionará como antes. Se conservan los certificados existentes de vCenter Server y vCenter Single Sign-On. Los certificados se usan como certificados SSL de equipos. Además, VMCA asigna un certificado firmado por VMCA a cada usuario de solución (recopilación de servicios de vCenter). El usuario de solución utiliza este certificado solo para autenticarse en vCenter Single Sign-On. Con frecuencia, una directiva de la empresa no requiere el reemplazo de los certificados de usuarios de solución.
Puede usar la utilidad de la línea de comandos, vSphere Certificate Manager, para la mayoría de las tareas de administración de certificados.
Interfaces de certificados de vSphere
Interfaz | Uso |
---|---|
vSphere Client | Realice tareas de certificados comunes con una interfaz gráfica de usuario. |
vSphere Automation API | Consulte la Guía de programación de VMware vSphere Automation SDK. |
Utilidad Certificate Manager | Realice tareas de reemplazo de certificados comunes desde la línea de comandos de la instalación de vCenter Server. |
CLI de administración de certificados | Realice todas las tareas de administración de certificados con dir-cli, certool y vecs-cli. |
Utilidad sso-config | Realice administración de certificados STS desde la línea de comandos de la instalación de vCenter Server. |
PowerCLI 12.4 (requiere vSphere 7.0 o una versión posterior) | Lleve a cabo la administración del almacén de certificados de confianza, administre los certificados SSL de máquina de vCenter Server y administre los certificados SSL de máquina de ESXi. |
En el caso de ESXi, puede realizar la administración de certificados desde vSphere Client. VMCA aprovisiona certificados y los almacena localmente en el host ESXi. VMCA no almacena certificados de hosts ESXi en VMDIR o en VECS. Consulte la documentación de Seguridad de vSphere.
Certificados de vCenter admitidos
En el caso de vCenter Server y las máquinas y los servicios relacionados, se admiten los siguientes certificados:
- Certificados generados y firmados por la entidad de certificación VMware Certificate Authority (VMCA).
- Certificados personalizados.
- Certificados empresariales que se generan desde su propia PKI interna.
- Certificados externos firmados por una entidad de certificación que se genera mediante una PKI externa como Verisign, GoDaddy, etc.
No se admiten los certificados autofirmados que se crearon mediante OpenSSL donde no existe una entidad de certificación raíz.