Es posible usar la utilidad vSphere Certificate Manager para reemplazar todos los certificados por certificados personalizados. Antes de iniciar el proceso, es necesario enviar solicitudes de firma de certificado (CSR) a la entidad de certificación CA. Se puede utilizar Certificate Manager para generar las CSR.
Una opción es reemplazar solo los certificados SSL de máquina y utilizar los certificados de usuario de solución que proporciona VMCA. Los certificados de usuario de solución se utilizan únicamente para la comunicación entre los componentes de vSphere.
Cuando se utilizan certificados personalizados, se deben reemplazar los certificados firmados por VMCA por certificados personalizados. Es posible utilizar vSphere Client, la utilidad vSphere Certificate Manager o las interfaces CLI para reemplazar manualmente los certificados. Los certificados se almacenarán en VECS.
Para reemplazar todos los certificados por certificados personalizados debe ejecutar la utilidad vSphere Certificate Manager varias veces. Los pasos de alto nivel para reemplazar los certificados SSL de máquina y los certificados de usuarios de solución incluyen:
- Iniciando la utilidad vSphere Certificate Manager.
- Se generan solicitudes de firma del certificado para el certificado SSL de máquina y los certificados de usuarios de soluciones por separado en cada equipo.
- Para generar CSR para el certificado SSL de máquina, seleccione la opción 1, Reemplazar el certificado SSL de máquina por un certificado personalizado. Cuando se le solicite de nuevo una opción y seleccione Opción 1: Generar solicitudes de inicio de certificado y claves para el certificado SSL de máquina.
- Si la directiva de la empresa no permite una implementación híbrida, seleccione la opción 5, Reemplazar certificados de usuarios de solución por certificados personalizados.
- Envíe la CSR a la CA externa o de la empresa. Recibirá un certificado firmado y un certificado raíz de la CA.
- Después de recibir los certificados firmados y el certificado raíz de la CA reemplace el certificado SSL de máquina en cada máquina mediante la opción 1 Reemplazar el certificado SSL de máquina por un certificado personalizado.
- Si también desea reemplazar los certificados de usuario de solución, seleccione la opción 5, Reemplazar certificados de usuario de solución por certificados personalizados.
- Por último, cuando varias instancias de vCenter Server están conectadas en la configuración de Enhanced Linked Mode, repitiendo el proceso en cada nodo.
Generar solicitudes de firma de certificado con Certificate Manager (certificados personalizados)
Es posible emplear la utilidad vSphere Certificate Manager para generar solicitudes de firma de certificado (Certificate Signing Requests, CSR) y, a continuación, enviarlas a la entidad de certificación empresarial o a una entidad de certificación externa. Los certificados se pueden utilizar en los diversos procesos de reemplazo de certificados compatibles.
Requisitos previos
vSphere Certificate Manager solicita información. La solicitud depende del entorno y del tipo de certificado que se desea reemplazar.
- Para cualquier tipo de generación de CSR, se solicita la contraseña del usuario [email protected] o el administrador del dominio de vCenter Single Sign-On con el que se desea establecer la conexión.
- Se le solicita el nombre de host o la dirección IP de vCenter Server.
- Para generar una CSR para un certificado SSL de máquina, se solicitan las propiedades del certificado, que están almacenadas en el archivo certool.cfg. En la mayoría de los campos, se puede aceptar el valor predeterminado o proporcionar valores específicos del sitio. Se requiere el FQDN de la máquina.
Nota: A partir de vSphere 8.0 y otras versiones posteriores, si utiliza vSphere Certificate Manager para generar la CSR, el tamaño mínimo de la clave pasa de 2048 bits a 3072 bits. En vSphere 8.0 Update 1 y versiones posteriores, utilice vSphere Client para generar una CSR con un tamaño de clave de 2048 bits.Nota: El certificado FIPS de vSphere solo valida los tamaños de clave RSA de 2048 y 3072 bits.
Procedimiento
Qué hacer a continuación
Para realizar el reemplazo de certificados, consulte Reemplazar un certificado SSL de máquina por un certificado personalizado mediante Certificate Manager.
Reemplazar un certificado SSL de máquina por un certificado personalizado mediante Certificate Manager
Puede usar la utilidad vSphere Certificate Manager para reemplazar el certificado SSL de máquina en cada nodo por un certificado personalizado. El certificado SSL de máquina se utiliza en el servicio de proxy inverso de cada nodo de vCenter Server. Cada máquina debe tener un certificado SSL de máquina para establecer una comunicación segura con otros servicios.
Requisitos previos
Antes de comenzar, se necesita una CSR para cada máquina del entorno. La CSR se puede generar mediante vSphere Certificate Manager o de forma explícita.
- Para generar la CSR mediante vSphere Certificate Manager, consulte Generar solicitudes de firma de certificado con Certificate Manager (certificados personalizados).
- Para generar la CSR de forma explícita, solicite un certificado para cada máquina a la entidad de certificación empresarial o externa. El certificado debe cumplir con los siguientes requisitos:
- Tamaño de clave: de 2048 bits (mínimo) a 8192 bits (máximo) (formato codificado PEM)
- Formato CRT
- x509 versión 3
- SubjectAltName debe contener DNS Name=<machine_FQDN>.
- Contiene los siguientes usos de claves: firma digital, cifrado de clave
Consulte también el artículo de la base de conocimientos de VMware en https://kb.vmware.com/s/article/2112014, Obtener certificados de vSphere de una entidad de certificación de Microsoft.
Procedimiento
Reemplazar certificados de usuario de solución por certificados personalizados mediante el administrador de certificados
Muchas empresas solo requieren que reemplace los certificados de los servicios a los que se puede acceder externamente. Sin embargo, el vSphere Certificate Manager también permite reemplazar certificados de usuarios de solución. Los usuarios de solución son recopilaciones de servicios, por ejemplo, todos los servicios que están asociados a vSphere Client.
Cuando se le solicite un certificado de usuario de solución, proporcione la cadena de certificados de firma completa de la entidad de certificación externa.
-----BEGIN CERTIFICATE----- Signing certificate -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- CA intermediate certificates -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- Root certificate of enterprise or external CA -----END CERTIFICATE-----
Requisitos previos
Antes de comenzar, se necesita una CSR para cada máquina del entorno. La CSR se puede generar mediante vSphere Certificate Manager o de forma explícita.
- Para generar la CSR mediante vSphere Certificate Manager, consulte Generar solicitudes de firma de certificado con Certificate Manager (certificados personalizados).
- Solicite un certificado para cada usuario de solución en cada nodo a la CA empresarial o externa. Puede generar la CSR mediante vSphere Certificate Manager o prepararla usted mismo. La CSR debe cumplir con los siguientes requisitos:
- Tamaño de clave: de 2048 bits (mínimo) a 8192 bits (máximo) (formato codificado PEM)
- Formato CRT
- x509 versión 3
- SubjectAltName debe contener DNS Name=<machine_FQDN>.
-
Cada certificado de usuario de solución debe tener un Subject diferente. Por ejemplo, considere incluir el nombre de usuario de solución (como vpxd) u otro identificador único.
- Contiene los siguientes usos de claves: firma digital, cifrado de clave
Consulte también el artículo de la base de conocimientos de VMware en http://kb.vmware.com/kb/2112014, Obtener certificados de vSphere de una entidad de certificación de Microsoft.