Administradores que no reemplazan certificados de VMware

VMCA puede encargarse de toda la administración de certificados. VMCA aprovisiona a vCenter Server con componentes y hosts ESXi con certificados que usan VMCA como entidad de certificación raíz. Si está actualizando a vSphere 6 desde una versión anterior de vSphere, todos los certificados autofirmados se reemplazan con certificados firmados por VMCA.

Si actualmente no reemplaza certificados de VMware, el entorno comienza a usar certificados firmados por VMCA en lugar de certificados autofirmados.

Administradores que reemplazan certificados de VMware por certificados personalizados

Si la directiva de la empresa exige certificados firmados por una CA de terceros o empresarial, o que requieran información de certificados personalizados, existen varias opciones para una instalación nueva.

• Que el certificado raíz de VMCA sea firmado por una CA independiente o una CA empresarial. Reemplazar el certificado raíz de VMCA con ese certificado firmado. En este escenario, el certificado de VMCA es un certificado intermedio. VMCA aprovisiona a los componentes de vCenter Server y a los hosts ESXi con certificados que incluyen la cadena completa de certificados.
• Si la directiva de la empresa no permite certificados intermedios en la cadena, los certificados se pueden reemplazar de manera explícita. Puede usar la utilidad vSphere Client, vSphere Certificate Manager o realizar el reemplazo manual de los certificados mediante la CLI de administración de certificados.

Cuando actualice un entorno que usa certificados personalizados, puede retener algunos.

• Los hosts ESXi mantienen sus certificados personalizados durante la actualización. Asegúrese de que el proceso de actualización de vCenter Server agregue todos los certificados raíz relevantes al almacén TRUSTED_ROOTS en VECS en vCenter Server.

  Después de la actualización a vSphere 6.0 o posteriores, se puede establecer el modo de certificado en Personalizado. Si el modo de certificación es el predeterminado (VMCA) y el usuario actualiza el certificado desde vSphere Client, los certificados firmados por VMCA reemplazan a los certificados personalizados.

• En una actualización de una instalación simple de vCenter Servera una implementación integrada, vCenter Server retiene los certificados personalizados. Después de la actualización, el entorno funcionará como antes. Se conservan los certificados existentes de vCenter Server y vCenter Single Sign-On. Los certificados se usan como certificados SSL de equipos. Además, VMCA asigna un certificado firmado por VMCA a cada usuario de solución (recopilación de servicios de vCenter). El usuario de solución utiliza este certificado solo para autenticarse en vCenter Single Sign-On. Con frecuencia, una directiva de la empresa no requiere el reemplazo de los certificados de usuarios de solución.

  Puede usar la utilidad de la línea de comandos, vSphere Certificate Manager, para la mayoría de las tareas de administración de certificados.

Interfaces de certificados de vSphere

En el caso de ESXi, puede realizar la administración de certificados desde vSphere Client. VMCA aprovisiona certificados y los almacena localmente en el host ESXi. VMCA no almacena certificados de hosts ESXi en VMDIR o en VECS. Consulte la documentación de Seguridad de vSphere.

Certificados de vCenter admitidos

En el caso de vCenter Server y las máquinas y los servicios relacionados, se admiten los siguientes certificados:

• Certificados generados y firmados por la entidad de certificación VMware Certificate Authority (VMCA).
• Certificados personalizados.
  • Certificados empresariales que se generan desde su propia PKI interna.
  • Certificados externos firmados por una entidad de certificación que se genera mediante una PKI externa como Verisign, GoDaddy, etc.

No se admiten los certificados autofirmados que se crearon mediante OpenSSL donde no existe una entidad de certificación raíz.