El trabajo que se requiere para configurar o actualizar la infraestructura de certificados de vSphere depende de los requisitos de su entorno. Debe tener en cuenta si se está realizando una instalación nueva o una actualización, y si se está considerando ESXi o vCenter Server.

Entornos que usan certificados de VMware Certificate Authority

VMware Certificate Authority (VMCA) puede gestionar toda la administración de certificados. VMCA aprovisiona a vCenter Server con componentes y hosts ESXi con certificados que usan VMCA como entidad de certificación raíz. Si está actualizando a vSphere 6.0 o posterior desde una versión anterior de vSphere, todos los certificados autofirmados se reemplazan con certificados firmados por VMCA.

Si actualmente no reemplaza certificados de VMware, el entorno comienza a usar certificados firmados por VMCA en lugar de certificados autofirmados.

Entornos que utilizan certificados personalizados

Si la directiva de la empresa requiere certificados firmados por una entidad de certificación de terceros o empresarial, o que precisen información de certificados personalizados, existen varias opciones para una instalación nueva.

  • Que el certificado raíz de VMCA sea firmado por una CA independiente o una CA empresarial. Reemplazar el certificado raíz de VMCA con ese certificado firmado. En este escenario, el certificado de VMCA es un certificado intermedio. VMCA aprovisiona a los componentes de vCenter Server y a los hosts ESXi con certificados que incluyen la cadena completa de certificados.
  • Si la directiva de la empresa no permite certificados intermedios en la cadena, los certificados se pueden reemplazar de manera explícita. Puede usar la utilidad vSphere Client, vSphere Certificate Manager o realizar el reemplazo manual de los certificados mediante la CLI de administración de certificados.

Cuando actualice un entorno que usa certificados personalizados, puede retener algunos.

  • Los hosts ESXi mantienen sus certificados personalizados durante la actualización. Asegúrese de que el proceso de actualización de vCenter Server agregue todos los certificados raíz relevantes al almacén TRUSTED_ROOTS en el almacén VECS (VMware Certificate Endpoint Store) en vCenter Server.

    Después de la actualización a vSphere 6.0 o versiones posteriores, se puede establecer el modo de certificado en Personalizado. Si el modo de certificado es VMCA, el predeterminado, y actualiza el certificado desde vSphere Client, los certificados firmados por VMCA reemplazarán a los certificados personalizados.

  • En una actualización de una instalación simple de vCenter Servera una implementación integrada, vCenter Server retiene los certificados personalizados. Después de la actualización, el entorno funcionará como antes. Se conservan los certificados existentes de vCenter Server y vCenter Single Sign-On. Los certificados se usan como certificados SSL de equipos. Además, VMCA asigna un certificado firmado por VMCA a cada usuario de solución (recopilación de servicios de vCenter). El usuario de solución utiliza este certificado solo para autenticarse ante vCenter Single Sign-On. VMware no recomienda reemplazar los certificados de usuarios de la solución.

Interfaces de certificados de vSphere

En el caso de vCenter Server, es posible ver y reemplazar certificados con las siguientes herramientas e interfaces.
Tabla 1. Interfaces para administrar certificados de vCenter Server
Interfaz Uso
vSphere Client Realice tareas de certificados comunes con una interfaz gráfica de usuario.
vSphere Automation API Consulte la Guía de programación de VMware vSphere Automation SDK.
Utilidad vSphere Certificate Manager Realice tareas de reemplazo de certificados comunes desde la línea de comandos de la instalación de vCenter Server.
CLI de administración de certificados de vSphere Realice todas las tareas de administración de certificados con dir-cli, certool y vecs-cli.
Utilidad sso-config Realice administración de certificados STS desde la línea de comandos de la instalación de vCenter Server.
PowerCLI 12.4 o versiones posteriores (también requiere vSphere 7.0 o una versión posterior) Lleve a cabo la administración del almacén de certificados de confianza, administre los certificados SSL de máquina de vCenter Server y administre los certificados SSL de máquina de ESXi.

En el caso de ESXi, puede realizar la administración de certificados desde vSphere Client. VMCA aprovisiona certificados y los almacena localmente en el host ESXi. VMCA no almacena certificados de hosts ESXi en VMDIR o en VECS. Consulte la documentación de Seguridad de vSphere.

Certificados admitidos de vCenter Server

En el caso de vCenter Server y las máquinas y los servicios relacionados, se admiten los siguientes certificados:

  • Certificados generados y firmados por la entidad de certificación VMware Certificate Authority (VMCA).
  • Certificados personalizados.
    • Certificados empresariales que se generan desde su propia PKI interna.
    • Certificados externos firmados por una entidad de certificación que se genera mediante una PKI externa como Verisign, GoDaddy, etc.

No se admiten los certificados autofirmados que se crearon mediante OpenSSL donde no existe una entidad de certificación raíz.