Es posible realizar distintos tipos de reemplazo de certificados según los requisitos y la directiva de la empresa para el sistema que va a configurar. Se pueden reemplazar certificados desde vSphere Client con la utilidad vSphere Certificate Manager o manualmente mediante las CLI que se incluyen con la instalación.

VMware Certificate Authority (VMCA) se incluye en cada implementación de vCenter Server. VMCA aprovisiona cada uno de los nodos, de los usuarios de la solución vCenter Server y de los hosts ESXi con un certificado firmado por VMCA como entidad de certificación.

Es posible reemplazar los certificados predeterminados. Para los componentes de vCenter Server, puede usar un conjunto de herramientas de línea de comandos que se incluyen en la instalación. Existen varias opciones.

Nota: Si vCenter Server está vinculado a NSX-T Manager y reemplaza los certificados de vCenter Server, debe actualizar la huella digital del administrador de equipos de vCenter Server. Consulte el tema titulado "Agregar un administrador de equipo" en la Guía del coordinador de migración de NSX-T Data Center.

Reemplazar certificados por certificados firmados por VMCA

Si su certificado de VMCA vence o si quiere reemplazarlo por otros motivos, puede usar las CLI de administración de certificados para realizar ese proceso. De forma predeterminada, el certificado raíz de VMCA vence después de 10 años y todos los certificados que firma la VMCA vencen cuando caduca el certificado raíz, es decir, después de un máximo de 10 años.

Figura 1. Los certificados firmados por VMCA se almacenan en VECS
En el modo predeterminado, VMCA aprovisiona certificados firmados por VMCA.
Puede usar las siguientes opciones de vSphere Certificate Manager:
  • Reemplazar un certificado de SSL de una máquina con un certificado de VMCA
  • Reemplazo de un certificado de un usuario de una solución con un certificado de VMCA

Para obtener información sobre el reemplazo manual de certificados, consulte Reemplazar los certificados firmado por VMCA existentes por certificados nuevos firmados por VMCA mediante la CLI.

Convertir a VMCA en una entidad de certificación intermedia

Puede reemplazar el certificado raíz de VMCA por un certificado firmado por una entidad de certificación (CA) empresarial o de terceros. VMCA firma el certificado raíz cada vez que aprovisiona certificados, lo que convierte a VMCA en una CA intermediaria.
Nota: Si realiza una instalación nueva que incluye una instancia de vCenter Server, reemplace el certificado raíz de VMCA antes de agregar hosts ESXi. Si lo hace, VMCA firma toda la cadena y no es necesario generar certificados nuevos.
Figura 2. Los certificados firmados por una CA empresarial o externa usan VMCA como CA intermediaria
El certificado de VMCA se incluye como certificado de intermediario. Una CA externa firma el certificado raíz.
Puede usar las siguientes opciones de vSphere Certificate Manager:
  • Reemplazar el certificado raíz de VMCA por un certificado de firma personalizado y reemplazo de todos los certificados
  • Reemplazar un certificado de SSL de una máquina con un certificado de VMCA (implementación de Enhanced Linked Mode de varios nodos)
  • Reemplazar un certificado de usuario de solución con un certificado de VMCA (implementación de Enhanced Linked Mode de varios nodos)

Para obtener información sobre el reemplazo manual de certificados, consulte Convertir VMCA en una entidad de certificación intermedia mediante la CLI.

Reemplazar certificados firmados por VMCA por certificados personalizados

Puede reemplazar los certificados firmados por VMCA existentes con certificados personalizados. Si emplea este enfoque, asume la responsabilidad del aprovisionamiento y la supervisión de todos los certificados.

Figura 3. Certificados externos que se almacenan directamente en VECS
Los certificados externos se almacenan directamente en VECS. No se usa VMCA.
Puede usar las siguientes opciones de vSphere Certificate Manager:
  • Reemplazar un certificado SSL de máquina por un certificado personalizado
  • Reemplazar los certificados de usuarios de soluciones con certificados personalizados

Para obtener información sobre el reemplazo manual de certificados, consulte Reemplazar certificados por certificados personalizados mediante la CLI.

También puede utilizar vSphere Client a fin de generar una CSR para un certificado SSL de máquina (personalizado) y reemplazar el certificado después de que la entidad de certificación lo devuelve. Consulte Generar una solicitud de firma del certificado para el certificado SSL de máquina con vSphere Client (certificados personalizados).

Uso del método híbrido para la implementación de certificados

En el método híbrido, puede hacer que VMCA proporcione algunos de los certificados y, al mismo tiempo, puede usar certificados personalizados para otras partes de la infraestructura. Por ejemplo, dado que los certificados de usuarios de soluciones se usan solo para autenticar vCenter Single Sign-On, considere la posibilidad de hacer que VMCA aprovisione esos certificados. Reemplace los certificados de SSL de máquinas con certificados personalizados para proteger todo el tráfico de SSL.

Con frecuencia, la directiva de la empresa no permite CA intermedias. En esos casos, la implementación híbrida es una buena solución. Minimiza la cantidad de certificados que deben reemplazarse y protege todo el tráfico. La implementación híbrida solo deja tráfico interno, es decir, tráfico del usuario de la solución, para usar los certificados predeterminados firmados por VMCA.

Para obtener más información, consulte la publicación del blog llamada Revisión del producto nuevo: reemplazo del certificado SSL de vSphere híbrido en http://vmware.com/go/hybridvmca.

Reemplazar certificados de ESXi

Para los hosts ESXi, puede cambiar el comportamiento de aprovisionamiento de certificados desde vSphere Client. Consulte la documentación de Seguridad de vSphere para obtener detalles.

Tabla 1. Opciones de reemplazo de certificados de ESXi
Opción Descripción
Modo VMware Certificate Authority (valor predeterminado) Cuando se renuevan certificados desde vSphere Client, VMCA emite los certificados para los hosts. Si cambió el certificado raíz de VMCA para incluir una cadena de certificados, los certificados del host incluyen la cadena completa.
Modo de entidad de certificación personalizada Permite actualizar y usar certificados de forma manual que VMCA no firmó ni emitió.
Modo de huella digital Puede usarse para conservar los certificados de la versión 5.5 durante la actualización. Use este modo únicamente de manera temporal en situaciones de depuración.