Requisitos de certificados para distintas rutas de acceso de la solución

Los requisitos de certificados dependen de si se usa VMCA como entidad de certificación intermedia o si se usan certificados personalizados. Los requisitos también son diferentes para los certificados de máquina.

Antes de comenzar, asegúrese de que la hora de todos los nodos del entorno esté sincronizada.

Nota: vSphere implementa solo certificados RSA para la autenticación del servidor y no admite la generación de certificados ECDSA. vSphere verifica los certificados ECDSA presentados por otros servidores. Por ejemplo, si vSphere se conecta a un servidor syslog y el servidor syslog tiene un certificado ECDSA, vSphere admite la verificación de dicho certificado.

Requisitos para todos los certificados importados

Tamaño de clave: de 2.048 bits (mínimo) a 16.384 bits (máximo) (formato codificado PEM)
Formato PEM. VMware admite PKCS8 y PKCS1 (claves RSA). Cuando se agregan claves a VECS, se convierten en PKCS8.
x509 versión 3
SubjectAltName debe contener DNS Name=machine_FQDN
Formato CRT
Contiene los siguientes usos de claves: firma digital, cifrado de clave.
Si se excluye el certificado de usuario de la solución vpxd-extension, Uso mejorado de clave puede estar vacío o contener autenticación de servidor.

vSphere no admite los siguientes certificados.

Certificados con comodines.
No se admiten los algoritmos md2WithRSAEncryption, md5WithRSAEncryption, RSASSA-PSS, dsaWithSHA1, ecdsa_with_SHA1 y sha1WithRSAEncryption.

Cumplimiento del certificado con RFC 2253

El certificado debe cumplir con RFC 2253.

Si no genera solicitudes de firma de certificados (Certificate Signature Request, CSR) con Certificate Manager, asegúrese de que la CSR incluya los siguientes campos.

Cadena	Tipo de atributo X.500
CN	commonName
L	localityName
ST	stateOrProvinceName
O	organizationName
OU	organizationalUnitName
C	countryName
CALLE	streetAddress
DC	domainComponent
UID	userid

Si genera CSR mediante Certificate Manager, se le pedirá la siguiente información y Certificate Manager agregará los campos correspondientes al archivo de CSR.

La contraseña del usuario [email protected] o del administrador del dominio de vCenter Single Sign-On al que se va a conectar.
Información que Certificate Manager almacena en el archivo certool.cfg. En la mayoría de los campos, se puede aceptar el valor predeterminado o proporcionar valores específicos del sitio. Se requiere el FQDN de la máquina.
- Contraseña de [email protected]
- Código de país de dos letras
- Nombre de empresa
- Nombre de organización
- Unidad de organización
- Estado
- Localidad
- Dirección IP (opcional)
- Correo electrónico
- Nombre del host, es decir, el nombre de dominio completo de la máquina para la que se desea reemplazar el certificado. Si el nombre del host no coincide con el FQDN, el reemplazo de los certificados no se completa correctamente y el entorno puede quedar en un estado inestable.
- Dirección IP del nodo de vCenter Server en el que se ejecuta Certificate Manager.

Requisitos al usar VMCA como entidad de certificación intermedia

Cuando se utiliza VMCA como entidad de certificación intermedia, los certificados deben cumplir los siguientes requisitos.


Tipo de certificado	Requisitos de certificados
Certificado raíz	Se puede utilizar vSphere Certificate Manager para crear la CSR. Consulte Generar una CSR con vSphere Certificate Manager y preparar certificados raíz (CA intermedia). Si prefiere crear la CSR de forma manual, el certificado que envíe para firmar debe cumplir con los siguientes requisitos. Tamaño de clave: de 2.048 bits (mínimo) a 16.384 bits (máximo) (formato codificado PEM) Formato PEM. VMware admite PKCS8 y PKCS1 (claves RSA). Cuando se agregan claves a VECS, se convierten en PKCS8. x509 versión 3 Para certificados raíz, la extensión CA se debe establecer en true y el signo cert debe estar en la lista de requisitos. Por ejemplo: basicConstraints = critical,CA:true keyUsage = critical,digitalSignature,keyCertSign La firma CRL debe estar habilitada. Uso mejorado de clave puede estar vacío o contener autenticación del servidor. No hay límite explícito a la longitud de la cadena de certificados. VMCA utiliza el valor predeterminado de OpenSSL, que es de diez certificados. No se admiten los certificados con comodines o con más de un nombre DNS. No se pueden crear CA subsidiarias de VMCA. Para obtener un ejemplo de uso de la entidad de certificación de Microsoft, consulte el artículo de la base de conocimientos de VMware en http://kb.vmware.com/kb/2112009, Crear una plantilla de entidad de certificación de Microsoft para creación de certificados SSL en vSphere 6.x.
Certificado SSL de máquina	Se puede utilizar vSphere Certificate Manager para crear la solicitud CSR o crear manualmente la CSR. Si crea manualmente la CSR, debe cumplir con los requisitos enumerados anteriormente en la sección Requisitos para todos los certificados importados. También tendrá que especificar el FQDN del host.
Certificado de usuario de solución	Se puede utilizar vSphere Certificate Manager para crear la solicitud CSR o crear manualmente la CSR. Nota: Debe utilizar un valor diferente en el nombre para cada usuario de solución. Si genera el certificado manualmente, es posible que esto se muestre como CN en el asunto, según la herramienta que utilice. Si utiliza vSphere Certificate Manager, la herramienta le solicitará información del certificado para cada usuario de solución. vSphere Certificate Manager almacena la información en certool.cfg. Consulte la información que solicita Certificate Manager. Para el usuario de solución vpxd-extension, puede dejar el uso de clave extendida vacío o utilizar "Autenticación de cliente WWW de TLS".

Requisitos de certificados personalizados

Si desea utilizar certificados personalizados, los certificados deben cumplir los siguientes requisitos.


Tipo de certificado	Requisitos de certificados
Certificado SSL de máquina	El certificado SSL de máquina en cada nodo debe tener un certificado independiente de la entidad de certificación empresarial o externa. Puede generar la CSR mediante vSphere Client o vSphere Certificate Manager, o bien puede crearla de forma manual. La CSR debe cumplir con los requisitos enumerados anteriormente en la sección Requisitos para todos los certificados importados. En la mayoría de los campos, se puede aceptar el valor predeterminado o proporcionar valores específicos del sitio. Se requiere el FQDN de la máquina.
Certificado de usuario de solución	Cada usuario de solución en cada nodo debe tener un certificado independiente de la entidad de certificación empresarial o externa. Puede generar la CSR mediante vSphere Certificate Manager o prepararla usted mismo. La CSR debe cumplir con los requisitos enumerados anteriormente en la sección Requisitos para todos los certificados importados. Si utiliza vSphere Certificate Manager, la herramienta le solicitará información del certificado para cada usuario de solución. vSphere Certificate Manager almacena la información en certool.cfg. Consulte la información que solicita Certificate Manager. Nota: Debe utilizar un valor diferente en el nombre para cada usuario de solución. Un certificado generado manualmente se puede mostrar como CN en el asunto, según la herramienta que utilice. Cuando reemplace posteriormente los certificados de usuario de solución por certificados personalizados, proporcione la cadena de certificados de firma completa de la entidad de certificación externa. Para el usuario de solución vpxd-extension, puede dejar el uso de clave extendida vacío o utilizar "Autenticación de cliente WWW de TLS".