Puede utilizar la utilidad vSphere Certificate Manager para convertir a VMCA en una entidad de certificación intermedia. Una vez completado el proceso, VMCA firmará todos los certificados nuevos con la cadena completa. Si lo desea, puede utilizar vSphere Certificate Manager para reemplazar todos los certificados existentes por nuevos certificados firmados por VMCA.
Para convertir a VMCA en una CA intermedia, debe ejecutar vSphere Certificate Manager varias veces. Los pasos de alto nivel para reemplazar los certificados SSL de máquina y los certificados de usuarios de solución incluyen:
- Iniciando la utilidad vSphere Certificate Manager.
- Generar una CSR mediante la ejecución de la opción 2, Reemplazar el certificado raíz de VMCA por un certificado de firma personalizado y reemplazar todos los certificados. A continuación, debe introducir algunos datos sobre el certificado. Cuando se le pida que elija de nuevo una opción, seleccione Opción 1, Generar solicitudes de firma de certificado y claves para el certificado de firma raíz de VMCA.
- Envíe la CSR a la CA externa o de la empresa. Recibirá un certificado firmado y un certificado raíz de la CA.
- Combinar el certificado raíz de VMCA con el certificado raíz de CA y guardar el archivo.
- Reemplazar certificados mediante la ejecución de la opción 2, Reemplazar el certificado raíz de VMCA por un certificado de firma personalizado, reemplazar todos los certificados y seguir las indicaciones. Este proceso reemplaza todos los certificados en el equipo local.
- (Opcional) Reemplazar certificados en cada nodo cuando varias instancias de vCenter Server están conectadas en la configuración de Enhanced Linked Mode haciendo lo siguiente:
- En primer lugar, reemplace el certificado SSL de máquina por el (nuevo) certificado de VMCA (opción 3, Reemplazar certificados SSL de máquina por certificados de VMCA).
- A continuación, reemplace los certificados de usuarios de solución por el (nuevo) certificado de VMCA (opción 6, Reemplazar certificados de usuarios de solución por certificados de VMCA).
Generar una CSR con Certificate Manager y preparar certificados raíz (CA intermedia)
La utilidad vSphere Certificate Manager se puede utilizar para generar solicitudes de firma del certificado (CSR). Envíe esas CSR a la CA de la empresa o a una entidad de certificación externa para su firma. Los certificados firmados se pueden utilizar en los diversos procesos de reemplazo de certificados compatibles.
- Se puede utilizar vSphere Certificate Manager para crear la CSR.
Nota: A partir de vSphere 8.0 y otras versiones posteriores, si utiliza vSphere Certificate Manager para generar la CSR, el tamaño mínimo de la clave pasa de 2048 bits a 3072 bits. En vSphere 8.0 Update 1 y versiones posteriores, utilice vSphere Client para generar una CSR con un tamaño de clave de 2048 bits.Nota: El certificado FIPS de vSphere solo valida los tamaños de clave RSA de 2048 y 3072 bits.
- Si prefiere crear la CSR de forma manual, el certificado que envíe para firmar debe cumplir con los siguientes requisitos.
- Tamaño de clave: de 2048 bits (mínimo) a 8192 bits (máximo) (formato codificado PEM)
- Formato PEM. VMware admite PKCS8 y PKCS1 (claves RSA). Cuando se agregan claves a VECS, se convierten en PKCS8.
- x509 versión 3
- Para certificados raíz, la extensión CA se debe establecer en true y el signo cert debe estar en la lista de requisitos. Por ejemplo:
basicConstraints = critical,CA:true keyUsage = critical,digitalSignature,keyCertSign
- La firma CRL debe estar habilitada.
- Uso mejorado de clave puede estar vacío o contener autenticación del servidor.
- No hay límite explícito a la longitud de la cadena de certificados. VMCA utiliza el valor predeterminado de OpenSSL, que es de diez certificados.
- No se admiten los certificados con comodines o con más de un nombre DNS.
- No se pueden crear CA subsidiarias de VMCA.
Para obtener un ejemplo de uso de la entidad de certificación de Microsoft, consulte el artículo de la base de conocimientos de VMware en https://kb.vmware.com/s/article/2112009, Crear una plantilla de entidad de certificación de Microsoft para creación de certificados SSL en vSphere 6.x.
Requisitos previos
vSphere Certificate Manager solicita información. Las solicitudes dependen del entorno y del tipo de certificado que se desea reemplazar.
Para cualquier tipo de generación de CSR, se solicita la contraseña del usuario [email protected] o el administrador del dominio de vCenter Single Sign-On con el que se desea establecer la conexión.
Procedimiento
Qué hacer a continuación
Reemplace el certificado raíz existente por el certificado raíz en cadena. Consulte Reemplazar el certificado raíz de VMCA por un certificado de firma personalizado y reemplazar todos los certificados mediante el Certificate Manager.
Reemplazar el certificado raíz de VMCA por un certificado de firma personalizado y reemplazar todos los certificados mediante el Certificate Manager
Puede utilizar la utilidad vSphere Certificate Manager para generar una solicitud de firma de certificados (Certificate Signing Requests, CSR) y enviarla a una entidad de certificación de la empresa o de terceros para la firma. A continuación, puede reemplazar el certificado raíz de VMCA por un certificado de firma personalizado y reemplazar todos los certificados existentes por certificados firmados por la entidad de certificación personalizada.
vSphere Certificate Manager se ejecuta en vCenter Server para reemplazar el certificado raíz de VMCA por un certificado de firma personalizado.
Requisitos previos
- Genere la cadena de certificados.
- Se puede utilizar vSphere Certificate Manager para crear la solicitud CSR o crear manualmente la CSR.
- Después de recibir el certificado firmado de la entidad de certificación externa o empresarial, combínelo con el certificado raíz de VMCA inicial para crear la cadena completa.
Consulte Generar una CSR con Certificate Manager y preparar certificados raíz (CA intermedia) para conocer los requisitos de certificación y el proceso para combinar los certificados.
- Recopile la información que necesita.
- Contraseña de [email protected]
- Un certificado personalizado válido para la raíz (archivo .crt)
- Clave personalizada válida para la raíz (archivo .key)
Procedimiento
Reemplazar un certificado SSL de máquina por un certificado de VMCA (entidad de certificación intermedia) mediante Certificate Manager
Cuando se utiliza VMCA como entidad de certificación intermedia, se puede reemplazar explícitamente el certificado SSL de máquina mediante la utilidad vSphere Certificate Manager. En primer lugar, reemplace el certificado raíz de VMCA en la instancia de vCenter Server y, a continuación, puede reemplazar el certificado SSL de máquina, que será firmado por la nueva raíz de VMCA. También se puede utilizar esta opción para reemplazar certificados SSL de máquina que se encuentren dañados o a punto de caducar.
Al reemplazar el certificado SSL de máquina existente por un nuevo certificado firmado por VMCA, vSphere Certificate Manager solicita información e introduce todos los valores, excepto la contraseña y la dirección IP de vCenter Server, en el archivo certool.cfg.
- Contraseña de [email protected]
- Código de país de dos letras
- Nombre de empresa
- Nombre de organización
- Unidad de organización
- Estado
- Localidad
- Dirección IP (opcional)
- Correo electrónico
- Nombre del host, es decir, el nombre de dominio completo de la máquina para la que se desea reemplazar el certificado. Si el nombre del host no coincide con el FQDN, el reemplazo de los certificados no se completa correctamente y el entorno puede quedar en un estado inestable.
- Dirección IP de vCenter Server
- Nombre de VMCA, es decir, el nombre de dominio completo de la máquina en la que se ejecuta la configuración del certificado.
Requisitos previos
- Debe conocer la siguiente información para ejecutar vSphere Certificate Manager con esta opción.
- Contraseña de [email protected].
- FQDN de la máquina para la cual se desea generar un nuevo certificado firmado por VMCA. Las demás propiedades tienen los valores predeterminados, pero pueden cambiarse.
- Nombre de host o dirección IP del sistema de vCenter Server.
Procedimiento
Resultados
Reemplazar certificados de usuario de solución por certificados de VMCA (entidad de certificación intermedia) mediante Certificate Manager
Cuando se utiliza VMCA como entidad de certificación intermedia, se puede reemplazar explícitamente el certificado de usuario de solución mediante la utilidad vSphere Certificate Manager. En primer lugar, reemplace el certificado raíz de VMCA en la instancia de vCenter Server y, a continuación, puede reemplazar el certificado de usuario de solución, que será firmado por la nueva raíz de VMCA. También se puede utilizar esta opción para reemplazar certificados de solución que se encuentren dañados o a punto de caducar.
Requisitos previos
- Reinicie todos los nodos de vCenter Server de forma explícita si reemplazó el certificado raíz de VMCA en una implementación que consta de varias instancias de vCenter Server en la configuración de Enhanced Linked Mode.
- Debe conocer la siguiente información para ejecutar vSphere Certificate Manager con esta opción.
- Contraseña de [email protected]
- Nombre de host o dirección IP del sistema de vCenter Server