Los requisitos de certificados dependen de si se usa VMware Certificate Authority (VMCA) como entidad de certificación intermedia o si se usan certificados personalizados. Los requisitos también son diferentes para los certificados de máquina.

Antes de comenzar a modificar certificados, asegúrese de que la hora de todos los nodos del entorno de vSphere esté sincronizada.

Nota: vSphere implementa solo certificados RSA para la autenticación del servidor y no permite que se generen certificados ECDSA. vSphere verifica los certificados ECDSA que presenten otros servidores. Por ejemplo, si vSphere se conecta a un servidor syslog y el servidor syslog tiene un certificado ECDSA, vSphere permitirá que se verifique ese certificado.

Requisitos para todos los certificados de vSphere importados

  • Tamaño de clave: de 2048 bits (mínimo) a 8192 bits (máximo) (formato codificado PEM). vSphere Client y la API siguen aceptando un tamaño de clave de hasta 16.384 bits al generar la solicitud de firma del certificado.
    Nota: En vSphere 8.0, solo se pueden generar CSR con una longitud de clave mínima de 3072 bits cuando se utiliza vSphere Client o vSphere Certificate Manager. vCenter Server aún acepta certificados personalizados con una longitud de clave de 2048 bits. En vSphere 8.0 Update 1 y versiones posteriores, puede utilizar vSphere Client para generar una CSR con una longitud de clave de 2048 bits.
    Nota: El certificado FIPS de vSphere solo valida los tamaños de clave RSA de 2048 y 3072 bits.
  • Formato PEM. VMware admite PKCS8 y PKCS1 (claves RSA). Cuando se agregan claves a VECS, se convierten en PKCS8.
  • x509 versión 3
  • SubjectAltName debe contener DNS Name=machine_FQDN
  • Formato CRT
  • Contiene los siguientes usos de claves: firma digital, cifrado de clave.
  • Si se excluye el certificado de usuario de la solución vpxd-extension, Uso mejorado de clave puede estar vacío o contener autenticación de servidor.
vSphere no admite los siguientes certificados.
  • Certificados con comodines.
  • No se admiten los algoritmos md2WithRSAEncryption, md5WithRSAEncryption, RSASSA-PSS, dsaWithSHA1, ecdsa_with_SHA1 y sha1WithRSAEncryption.
  • Al crear un certificado SSL de máquina personalizado para vCenter Server, la autenticación de servidor y la autenticación de cliente no son compatibles y deben eliminarse cuando se utilizan plantillas de entidad de certificación (CA) de Microsoft. Para obtener más información, consulte el artículo de la base de conocimientos de VMware en https://kb.vmware.com/s/article/2112009.

Cumplimiento del certificado de vSphere con RFC 2253

El certificado debe cumplir con RFC 2253.

Si no genera solicitudes de firma de certificados (Certificate Signature Request, CSR) con vSphere Certificate Manager, asegúrese de que la CSR incluya los siguientes campos.

Cadena Tipo de atributo X.500
CN commonName
L localityName
ST stateOrProvinceName
O organizationName
OU organizationalUnitName
C countryName
CALLE streetAddress
DC domainComponent
UID userid
Si genera las CSR mediante vSphere Certificate Manager, se le pedirá la siguiente información y vSphere Certificate Manager agregará los campos correspondientes al archivo de CSR.
  • La contraseña del usuario [email protected] o del administrador del dominio de vCenter Single Sign-On al que se va a conectar.
  • Información que vSphere Certificate Manager almacena en el archivo certool.cfg. En la mayoría de los campos, se puede aceptar el valor predeterminado o proporcionar valores específicos del sitio. Se requiere el FQDN de la máquina.
    • Contraseña de [email protected]
    • Código de país de dos letras
    • Nombre de empresa
    • Nombre de organización
    • Unidad de organización
    • Estado
    • Localidad
    • Dirección IP (opcional)
    • Correo electrónico
    • Nombre del host, es decir, el nombre de dominio completo de la máquina para la que se desea reemplazar el certificado. Si el nombre del host no coincide con el FQDN, el reemplazo de los certificados no se completa correctamente y el entorno puede quedar en un estado inestable.
    • Dirección IP del nodo de vCenter Server en el que se ejecuta vSphere Certificate Manager.
Nota: El campo OU (organizationalUnitName) ya no es obligatorio.

Requisitos de certificación cuando se utiliza VMCA como entidad de certificación intermedia

Cuando se utiliza VMCA como entidad de certificación intermedia, los certificados deben cumplir los siguientes requisitos.

Tipo de certificado Requisitos de certificados
Certificado raíz
  • Se puede utilizar vSphere Certificate Manager para crear la CSR. Consulte Generar una CSR con Certificate Manager y preparar certificados raíz (CA intermedia).
  • Si prefiere crear la CSR de forma manual, el certificado que envíe para firmar debe cumplir con los siguientes requisitos.
    • Tamaño de clave: de 2048 bits (mínimo) a 8192 bits (máximo) (formato codificado PEM)
    • Formato PEM. VMware admite PKCS8 y PKCS1 (claves RSA). Cuando se agregan claves a VECS, se convierten en PKCS8.
    • x509 versión 3
    • Para certificados raíz, la extensión CA se debe establecer en true y el signo cert debe estar en la lista de requisitos. Por ejemplo:
      basicConstraints        = critical,CA:true
      keyUsage                = critical,digitalSignature,keyCertSign
    • La firma CRL debe estar habilitada.
    • Uso mejorado de clave puede estar vacío o contener autenticación del servidor.
    • No hay límite explícito a la longitud de la cadena de certificados. VMCA utiliza el valor predeterminado de OpenSSL, que es de diez certificados.
    • No se admiten los certificados con comodines o con más de un nombre DNS.
    • No se pueden crear CA subsidiarias de VMCA.

      Para obtener un ejemplo de uso de la entidad de certificación de Microsoft, consulte el artículo de la base de conocimientos de VMware en https://kb.vmware.com/s/article/2112009, Crear una plantilla de entidad de certificación de Microsoft para creación de certificados SSL en vSphere 6.x.

Certificado SSL de máquina

Se puede utilizar vSphere Certificate Manager para crear la solicitud CSR o crear manualmente la CSR.

Si crea la CSR manualmente, debe cumplir con los requisitos enumerados anteriormente en la sección Requisitos para todos los certificados de vSphere importados. También tendrá que especificar el FQDN del host.

Certificado de usuario de solución

Se puede utilizar vSphere Certificate Manager para crear la solicitud CSR o crear manualmente la CSR.

Nota: Debe utilizar un valor diferente en el nombre para cada usuario de solución. Si genera el certificado manualmente, es posible que esto se muestre como CN en el asunto, según la herramienta que utilice.

Si utiliza vSphere Certificate Manager, la herramienta le solicitará información del certificado para cada usuario de solución. vSphere Certificate Manager almacena la información en certool.cfg.

Para el usuario de solución vpxd-extension, puede dejar el uso de clave extendida vacío o utilizar "Autenticación de cliente WWW de TLS".

Requisitos cuando se utilizan certificados personalizados

Si desea utilizar certificados personalizados, los certificados deben cumplir los siguientes requisitos.

Tipo de certificado Requisitos de certificados
Certificado SSL de máquina El certificado SSL de máquina en cada nodo debe tener un certificado independiente de la entidad de certificación empresarial o externa.
  • Puede generar la CSR mediante vSphere Client o vSphere Certificate Manager, o bien puede crearla de forma manual. La CSR debe cumplir con los requisitos enumerados anteriormente en la sección Requisitos para todos los certificados de vSphere importados.
  • En la mayoría de los campos, se puede aceptar el valor predeterminado o proporcionar valores específicos del sitio. Se requiere el FQDN de la máquina.
Certificado de usuario de solución Cada usuario de solución en cada nodo debe tener un certificado independiente de la entidad de certificación empresarial o externa.
  • Puede generar la CSR mediante vSphere Certificate Manager o prepararla usted mismo. La CSR debe cumplir con los requisitos enumerados anteriormente en la sección Requisitos para todos los certificados de vSphere importados.
  • Si utiliza vSphere Certificate Manager, la utilidad le solicitará información del certificado para cada usuario de solución. vSphere Certificate Manager almacena la información en certool.cfg.

    Nota: Debe utilizar un valor diferente en el nombre para cada usuario de solución. Un certificado generado manualmente se puede mostrar como CN en el asunto, según la herramienta que utilice.

Cuando reemplace posteriormente los certificados de usuario de solución por certificados personalizados, proporcione la cadena de certificados de firma completa de la entidad de certificación externa.

Para el usuario de solución vpxd-extension, puede dejar el uso de clave extendida vacío o utilizar "Autenticación de cliente WWW de TLS".