Se puede utilizar vSphere Certificate Manager para generar solicitudes de firma del certificado (CSR). Envíe esas CSR a la CA de la empresa o a una entidad de certificación externa para su firma. Los certificados firmados se pueden utilizar en los diversos procesos de reemplazo de certificados compatibles.

  • Se puede utilizar vSphere Certificate Manager para crear la CSR.
  • Si prefiere crear la CSR de forma manual, el certificado que envíe para firmar debe cumplir con los siguientes requisitos.
    • Tamaño de clave: de 2.048 bits (mínimo) a 16.384 bits (máximo) (formato codificado PEM)
    • Formato PEM. VMware admite PKCS8 y PKCS1 (claves RSA). Cuando se agregan claves a VECS, se convierten en PKCS8.
    • x509 versión 3
    • Para certificados raíz, la extensión CA se debe establecer en true y el signo cert debe estar en la lista de requisitos. Por ejemplo:
      basicConstraints        = critical,CA:true
keyUsage                = critical,digitalSignature,keyCertSign
    • La firma CRL debe estar habilitada.
    • Uso mejorado de clave puede estar vacío o contener autenticación del servidor.
    • No hay límite explícito a la longitud de la cadena de certificados. VMCA utiliza el valor predeterminado de OpenSSL, que es de diez certificados.
    • No se admiten los certificados con comodines o con más de un nombre DNS.
    • No se pueden crear CA subsidiarias de VMCA.

      Para obtener un ejemplo de uso de la entidad de certificación de Microsoft, consulte el artículo de la base de conocimientos de VMware en http://kb.vmware.com/kb/2112009, Crear una plantilla de entidad de certificación de Microsoft para creación de certificados SSL en vSphere 6.x.

Requisitos previos

vSphere Certificate Manager solicita información. Las solicitudes dependen del entorno y del tipo de certificado que se desea reemplazar.

Para cualquier tipo de generación de CSR, se solicita la contraseña del usuario [email protected] o el administrador del dominio de vCenter Single Sign-On con el que se desea establecer la conexión.

Procedimiento

  1. Ejecute vSphere Certificate Manager.
    /usr/lib/vmware-vmca/bin/certificate-manager
  2. Seleccione la opción 2.
    Inicialmente, esta opción se utiliza para generar la CSR, no para reemplazar los certificados.
  3. Si el sistema lo solicita, proporcione la contraseña y la dirección IP o el nombre de host de vCenter Server.
  4. Seleccione la opción 1 para generar la CSR y responda las solicitudes.
    Es necesario especificar un directorio como parte de este proceso. Certificate Manager coloca el certificado para su firma (archivo *.csr) y el archivo de clave correspondiente (archivo *.key) en el directorio.
  5. Otorgue un nombre a la solicitud de firma del certificado (Certificate Signing Request, CSR) root_signing_cert.csr.
  6. Envíe la CSR a la empresa o a la CA externa para firmarla y asigne un nombre al certificado firmado root_signing_cert.cer resultante.
  7. En un editor de texto, combine el certificado de la siguiente manera. 
    -----BEGIN CERTIFICATE-----
Signed VMCA root certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
CA intermediate certificates
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Root certificate of enterprise or external CA
-----END CERTIFICATE-----
  8. Guarde el archivo como root_signing_chain.cer.

Qué hacer a continuación

Reemplace el certificado raíz existente por el certificado raíz en cadena. Consulte Reemplazar el certificado raíz de VMCA por un certificado de firma personalizado y reemplazo de todos los certificados.