Si la directiva de la empresa lo requiere, puede usar la CLI para reemplazar todos o algunos de los certificados utilizados en vSphere por certificados firmados por una CA de la empresa o externa. Si lo hace, VMCA no estará en la cadena de certificados. Es su responsabilidad almacenar todos los certificados de vCenter en VECS.
Incluso si decide utilizar certificados personalizados, puede continuar usando la utilidad de VMware Certificate Manager para reemplazar los certificados. Consulte Reemplazar todos los certificados por certificados personalizados con el Certificate Manager.
Si tiene problemas con vSphere Auto Deploy después de reemplazar los certificados, consulte el artículo de la base de conocimientos de VMware en https://kb.vmware.com/s/article/2000988.
Solicitar certificados e importar un certificado raíz personalizado mediante la CLI
Puede utilizar certificados personalizados de una CA de la empresa o externa. El primer paso es solicitar los certificados a la entidad de certificación y luego usar la CLI para importar los certificados raíz en VMware Endpoint Certificate Store (VECS).
Requisitos previos
El certificado debe cumplir con los siguientes requisitos:
- Tamaño de clave: de 2048 bits (mínimo) a 8192 bits (máximo) (formato codificado PEM)
- Formato PEM. VMware admite PKCS8 y PKCS1 (claves RSA). Cuando se agregan claves a VECS, se convierten en PKCS8.
- x509 versión 3
- Para los certificados raíz, la extensión CA se debe establecer en true y el signo cert debe estar en la lista de requisitos.
- SubjectAltName debe contener DNS Name=<machine_FQDN>.
- Formato CRT
- Contiene los siguientes usos de claves: firma digital, cifrado de clave
- Hora de inicio de un día anterior a la hora actual.
- CN (y SubjectAltName) establecidos con el nombre de host (o dirección IP) que el host ESXi tiene en el inventario de vCenter Server.
Procedimiento
Qué hacer a continuación
Se puede eliminar el certificado raíz original de VMCA del almacén de certificados si así lo establece la directiva de la empresa. Si se hace eso, es necesario actualizar el certificado de vCenter Single Sign-On. Consulte Reemplazar un certificado vCenter Server STS mediante la línea de comandos.
Reemplazar certificados SSL de máquina por certificados personalizados mediante la CLI
Después de recibir los certificados personalizados, puede usar la CLI para reemplazar los certificados de cada máquina.
- Contraseña de [email protected]
- Un certificado SSL de máquina personalizado y válido (archivo .crt)
- Una clave SSL de máquina personalizada y válida (archivo .key)
- Un certificado personalizado válido para la raíz (archivo .crt)
Requisitos previos
Seguramente recibió un certificado para cada máquina de la CA de la empresa o externa.
- Tamaño de clave: de 2048 bits (mínimo) a 8192 bits (máximo) (formato codificado PEM)
- Formato CRT
- x509 versión 3
- SubjectAltName debe contener DNS Name=<machine_FQDN>.
- Contiene los siguientes usos de claves: firma digital, cifrado de clave
Realice los pasos en cada host de vCenter Server.