Puede utilizar la utilidad vSphere Certificate Manager para convertir a VMCA en una entidad de certificación intermedia. Una vez completado el proceso, VMCA firmará todos los certificados nuevos con la cadena completa. Si lo desea, puede utilizar vSphere Certificate Manager para reemplazar todos los certificados existentes por nuevos certificados firmados por VMCA.

VMware no recomienda utilizar VMCA como entidad de certificación subordinada (o intermedia). Si elige esta opción, es posible que se encuentre con una considerable complejidad y que pueda tener un impacto negativo en la seguridad y un aumento innecesario en el riesgo operativo. Para obtener más información sobre la administración de certificados en un entorno de vSphere, consulte la publicación de blog llamada Revisión de producto nuevo: reemplazo del certificado SSL de vSphere híbrido en http://vmware.com/go/hybridvmca.

Para convertir a VMCA en una CA intermedia, debe ejecutar vSphere Certificate Manager varias veces. Los pasos de alto nivel para reemplazar los certificados SSL de máquina y los certificados de usuarios de solución incluyen:

  1. Iniciando la utilidad vSphere Certificate Manager.
  2. Generar una CSR mediante la ejecución de la opción 2, Reemplazar el certificado raíz de VMCA por un certificado de firma personalizado y reemplazar todos los certificados. A continuación, debe introducir algunos datos sobre el certificado. Cuando se le pida que elija de nuevo una opción, seleccione Opción 1, Generar solicitudes de firma de certificado y claves para el certificado de firma raíz de VMCA.
  3. Envíe la CSR a la CA externa o de la empresa. Recibirá un certificado firmado y un certificado raíz de la CA.
  4. Combinar el certificado raíz de VMCA con el certificado raíz de CA y guardar el archivo.
  5. Reemplazar certificados mediante la ejecución de la opción 2, Reemplazar el certificado raíz de VMCA por un certificado de firma personalizado, reemplazar todos los certificados y seguir las indicaciones. Este proceso reemplaza todos los certificados en el equipo local.
  6. (Opcional) Reemplazar certificados en cada nodo cuando varias instancias de vCenter Server están conectadas en la configuración de Enhanced Linked Mode haciendo lo siguiente:
    1. En primer lugar, reemplace el certificado SSL de máquina por el (nuevo) certificado de VMCA (opción 3, Reemplazar certificados SSL de máquina por certificados de VMCA).
    2. A continuación, reemplace los certificados de usuarios de solución por el (nuevo) certificado de VMCA (opción 6, Reemplazar certificados de usuarios de solución por certificados de VMCA).

Generar una CSR con Certificate Manager y preparar certificados raíz (CA intermedia)

La utilidad vSphere Certificate Manager se puede utilizar para generar solicitudes de firma del certificado (CSR). Envíe esas CSR a la CA de la empresa o a una entidad de certificación externa para su firma. Los certificados firmados se pueden utilizar en los diversos procesos de reemplazo de certificados compatibles.

  • Se puede utilizar vSphere Certificate Manager para crear la CSR.
    Nota: A partir de vSphere 8.0 y otras versiones posteriores, si utiliza vSphere Certificate Manager para generar la CSR, el tamaño mínimo de la clave pasa de 2048 bits a 3072 bits. En vSphere 8.0 Update 1, utilice el vSphere Client para generar una CSR con un tamaño de clave de 2048 bits.
    Nota: El certificado FIPS de vSphere solo valida los tamaños de clave RSA de 2048 y 3072 bits.
  • Si prefiere crear la CSR de forma manual, el certificado que envíe para firmar debe cumplir con los siguientes requisitos.
    • Tamaño de clave: de 2.048 bits (mínimo) a 16.384 bits (máximo) (formato codificado PEM)
    • Formato PEM. VMware admite PKCS8 y PKCS1 (claves RSA). Cuando se agregan claves a VECS, se convierten en PKCS8.
    • x509 versión 3
    • Para certificados raíz, la extensión CA se debe establecer en true y el signo cert debe estar en la lista de requisitos. Por ejemplo:
      basicConstraints        = critical,CA:true
      keyUsage                = critical,digitalSignature,keyCertSign
    • La firma CRL debe estar habilitada.
    • Uso mejorado de clave puede estar vacío o contener autenticación del servidor.
    • No hay límite explícito a la longitud de la cadena de certificados. VMCA utiliza el valor predeterminado de OpenSSL, que es de diez certificados.
    • No se admiten los certificados con comodines o con más de un nombre DNS.
    • No se pueden crear CA subsidiarias de VMCA.

      Para obtener un ejemplo de uso de la entidad de certificación de Microsoft, consulte el artículo de la base de conocimientos de VMware en http://kb.vmware.com/kb/2112009, Crear una plantilla de entidad de certificación de Microsoft para creación de certificados SSL en vSphere 6.x.

Requisitos previos

vSphere Certificate Manager solicita información. Las solicitudes dependen del entorno y del tipo de certificado que se desea reemplazar.

Para cualquier tipo de generación de CSR, se solicita la contraseña del usuario administrator@vsphere.local o el administrador del dominio de vCenter Single Sign-On con el que se desea establecer la conexión.

Procedimiento

  1. Inicie sesión en el shell de vCenter Server e inicie vSphere Certificate Manager.
    /usr/lib/vmware-vmca/bin/certificate-manager
  2. Seleccione la opción 2, Reemplazar el certificado raíz de VMCA por un certificado de firma personalizado y reemplazar todos los certificados.
    Inicialmente, esta opción se utiliza para generar la CSR, no para reemplazar los certificados.
  3. Escriba el nombre de usuario y la contraseña del administrador.
  4. Seleccione la opción 1, Generar solicitudes de firma de certificado y claves para el certificado de firma raíz de VMCA, si desea generar la CSR y seguir las indicaciones.
    Es necesario especificar un directorio como parte de este proceso. vSphere Certificate Manager coloca el certificado que se va a firmar (archivo *.csr) y el archivo de clave correspondiente (archivo *.key) en el directorio.
  5. Otorgue un nombre a la solicitud de firma del certificado (Certificate Signing Request, CSR) root_signing_cert.csr.
  6. Envíe la CSR a la empresa o a la CA externa para firmarla y asigne un nombre al certificado firmado root_signing_cert.cer resultante.
  7. En un editor de texto, combine el certificado de la siguiente manera.
    -----BEGIN CERTIFICATE-----
    Signed VMCA root certificate
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    CA intermediate certificates
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    Root certificate of enterprise or external CA
    -----END CERTIFICATE-----
  8. Guarde el archivo como root_signing_chain.cer.

Qué hacer a continuación

Reemplace el certificado raíz existente por el certificado raíz en cadena. Consulte Reemplazar el certificado raíz de VMCA por un certificado de firma personalizado y reemplazar todos los certificados mediante el Certificate Manager.

Reemplazar el certificado raíz de VMCA por un certificado de firma personalizado y reemplazar todos los certificados mediante el Certificate Manager

Puede utilizar la utilidad vSphere Certificate Manager para generar una solicitud de firma de certificados (Certificate Signing Requests, CSR) y enviarla a una entidad de certificación de la empresa o de terceros para la firma. A continuación, puede reemplazar el certificado raíz de VMCA por un certificado de firma personalizado y reemplazar todos los certificados existentes por certificados firmados por la entidad de certificación personalizada.

vSphere Certificate Manager se ejecuta en vCenter Server para reemplazar el certificado raíz de VMCA por un certificado de firma personalizado.

Requisitos previos

  • Genere la cadena de certificados.
    • Se puede utilizar vSphere Certificate Manager para crear la solicitud CSR o crear manualmente la CSR.
    • Después de recibir el certificado firmado de la entidad de certificación externa o empresarial, combínelo con el certificado raíz de VMCA inicial para crear la cadena completa.

      Consulte Generar una CSR con Certificate Manager y preparar certificados raíz (CA intermedia) para conocer los requisitos de certificación y el proceso para combinar los certificados.

  • Recopile la información que necesita.
    • Contraseña de administrator@vsphere.local
    • Un certificado personalizado válido para la raíz (archivo .crt)
    • Clave personalizada válida para la raíz (archivo .key)

Procedimiento

  1. Inicie sesión en el shell de vCenter Server e inicie vSphere Certificate Manager.
    /usr/lib/vmware-vmca/bin/certificate-manager
  2. Seleccione la opción 2, Reemplazar el certificado raíz de VMCA por un certificado de firma personalizado y reemplazar todos los certificados.
  3. Escriba el nombre de usuario y la contraseña del administrador.
  4. Seleccione Opción 2: Importar certificados personalizados y claves para reemplazar el certificado de firma raíz de VMCA existente y responder a las solicitudes.
    1. Especifique la ruta de acceso completa al certificado raíz cuando se le solicite.
    2. Si es la primera vez que reemplaza los certificados, se le solicitará información que se utilizará para el certificado SSL de máquina.
      Esta información incluye el FQDN obligatorio de la máquina y se almacena en el archivo certool.cfg.

Reemplazar un certificado SSL de máquina por un certificado de VMCA (entidad de certificación intermedia) mediante Certificate Manager

Cuando se utiliza VMCA como entidad de certificación intermedia, se puede reemplazar explícitamente el certificado SSL de máquina mediante la utilidad vSphere Certificate Manager. En primer lugar, reemplace el certificado raíz de VMCA en la instancia de vCenter Server y, a continuación, puede reemplazar el certificado SSL de máquina, que será firmado por la nueva raíz de VMCA. También se puede utilizar esta opción para reemplazar certificados SSL de máquina que se encuentren dañados o a punto de caducar.

Al reemplazar el certificado SSL de máquina existente por un nuevo certificado firmado por VMCA, vSphere Certificate Manager solicita información e introduce todos los valores, excepto la contraseña y la dirección IP de vCenter Server, en el archivo certool.cfg.

  • Contraseña de administrator@vsphere.local
  • Código de país de dos letras
  • Nombre de empresa
  • Nombre de organización
  • Unidad de organización
  • Estado
  • Localidad
  • Dirección IP (opcional)
  • Correo electrónico
  • Nombre del host, es decir, el nombre de dominio completo de la máquina para la que se desea reemplazar el certificado. Si el nombre del host no coincide con el FQDN, el reemplazo de los certificados no se completa correctamente y el entorno puede quedar en un estado inestable.
  • Dirección IP de vCenter Server
  • Nombre de VMCA, es decir, el nombre de dominio completo de la máquina en la que se ejecuta la configuración del certificado.
Nota: El campo OU (organizationalUnitName) ya no es obligatorio.

Requisitos previos

  • Debe conocer la siguiente información para ejecutar vSphere Certificate Manager con esta opción.
    • Contraseña de administrator@vsphere.local.
    • FQDN de la máquina para la cual se desea generar un nuevo certificado firmado por VMCA. Las demás propiedades tienen los valores predeterminados, pero pueden cambiarse.
    • Nombre de host o dirección IP del sistema de vCenter Server.

Procedimiento

  1. Inicie sesión en el shell de vCenter Server e inicie vSphere Certificate Manager.
    /usr/lib/vmware-vmca/bin/certificate-manager
  2. Seleccione la opción 3: Reemplazar el certificado SSL de máquina por un certificado de VMCA.
  3. Escriba el nombre de usuario y la contraseña del administrador.
  4. Responda las solicitudes del sistema.
    vSphere Certificate Manager almacena la información en el archivo certool.cfg.

Resultados

vSphere Certificate Manager reemplazará el certificado SSL de máquina.

Reemplazar certificados de usuario de solución por certificados de VMCA (entidad de certificación intermedia) mediante Certificate Manager

Cuando se utiliza VMCA como entidad de certificación intermedia, se puede reemplazar explícitamente el certificado de usuario de solución mediante la utilidad vSphere Certificate Manager. En primer lugar, reemplace el certificado raíz de VMCA en la instancia de vCenter Server y, a continuación, puede reemplazar el certificado de usuario de solución, que será firmado por la nueva raíz de VMCA. También se puede utilizar esta opción para reemplazar certificados de solución que se encuentren dañados o a punto de caducar.

Requisitos previos

  • Reinicie todos los nodos de vCenter Server de forma explícita si reemplazó el certificado raíz de VMCA en una implementación que consta de varias instancias de vCenter Server en la configuración de Enhanced Linked Mode.
  • Debe conocer la siguiente información para ejecutar vSphere Certificate Manager con esta opción.
    • Contraseña de administrator@vsphere.local
    • Nombre de host o dirección IP del sistema de vCenter Server

Procedimiento

  1. Inicie sesión en el shell de vCenter Server e inicie vSphere Certificate Manager.
    /usr/lib/vmware-vmca/bin/certificate-manager
  2. Seleccione la opción 6: Reemplazar certificados de usuario de solución por certificados de VMCA.
  3. Escriba el nombre de usuario y la contraseña del administrador.
  4. Responda las solicitudes del sistema.
    Consulte el artículo de la base de conocimientos de VMware en http://kb.vmware.com/kb/2112281 para obtener más información.

Resultados

vSphere Certificate Manager reemplazará todos los certificados de usuario de solución.