vSphere proporciona seguridad mediante el uso de certificados para cifrar las comunicaciones, autenticar los servicios y firmar tokens.
- Cifrar las comunicaciones entre dos nodos, por ejemplo, vCenter Server y un host ESXi.
- Autenticar los servicios de vSphere.
- Realizar acciones internas, como firmar tokens.
La entidad de certificación interna de vSphere, VMware Certificate Authority (VMCA) proporciona todos los certificados necesarios para vCenter Server y ESXi. VMCA se instala en cada host vCenter Server de manera que la solución queda protegida de forma inmediata sin tener que modificar nada más. Mantener esta configuración predeterminada proporciona la sobrecarga operativa más baja para la administración de certificados. vSphere proporciona un mecanismo para renovar estos certificados en caso de que caduquen.
vSphere también proporciona un mecanismo para reemplazar determinados certificados con sus propios certificados. Sin embargo, reemplace solamente el certificado SSL que proporciona cifrado entre los nodos, para reducir la sobrecarga de administración de certificados al mínimo.
Se recomiendan las siguientes opciones para la administración de certificados.
Modo | Descripción | Ventajas |
---|---|---|
Certificados de VMCA predeterminados | VMCA proporciona todos los certificados para hosts de vCenter Server y de ESXi. | Sobrecarga más simple y más baja. VMCA puede administrar el ciclo de vida de certificados para vCenter Server y hosts ESXi. |
Certificados de VMCA predeterminados con certificados SSL externos (modo híbrido) | Para administrar certificados de los usuarios de solución y los hosts ESXi, debe reemplazar los certificados SSL de vCenter Servery permitir VMCA. De manera opcional, para las implementaciones de alta seguridad conscientes, puede reemplazar también los certificados SSL de host ESXi. | Simple y seguro. VMCA administra los certificados internos, pero se obtiene el beneficio de obtener sus certificados SSL aprobados por la empresa y que los exploradores confíen en dichos certificados. |
VMware no recomienda el reemplazo de los certificados de usuario de la solución o los certificados STS ni el uso de una entidad de certificación subordinada en lugar de VMCA. Si selecciona cualquiera de estas opciones, es posible que se encuentre con una considerable complejidad y que exista la posibilidad de un impacto negativo para la seguridad y un aumento innecesario en el riesgo operativo. Para obtener más información sobre la administración de certificados en un entorno de vSphere, consulte la publicación de blog llamada Revisión de producto nuevo: reemplazo del certificado SSL de vSphere híbrido en http://vmware.com/go/hybridvmca.
Puede utilizar las siguientes opciones para reemplazar los certificados existentes.
Opción | Consulte |
---|---|
Utilice vSphere Client. | Administrar certificados con vSphere Client |
Utilice vSphere Automation API para administrar el ciclo de vida de los certificados. | Guía de programación de VMware vSphere Automation SDK |
Ejecute la utilidad vSphere Certificate Manager desde la línea de comandos. | Administrar certificados con la utilidad vSphere Certificate Manager |
Utilice los comandos de la CLI para el reemplazo manual de certificados. | Administrar servicios y certificados con comandos de CLI |