Los requisitos de certificados dependen de si se usa VMware Certificate Authority (VMCA) como entidad de certificación intermedia o si se usan certificados personalizados. Los requisitos también son diferentes para los certificados de máquina.
Antes de comenzar a modificar certificados, asegúrese de que la hora de todos los nodos del entorno de vSphere esté sincronizada.
Requisitos para todos los certificados de vSphere importados
- Tamaño de clave: de 2048 bits (mínimo) a 8192 bits (máximo) (formato codificado PEM). vSphere Client y la API siguen aceptando un tamaño de clave de hasta 16.384 bits al generar la solicitud de firma del certificado.
Nota: En vSphere 8.0, solo se pueden generar CSR con una longitud de clave mínima de 3072 bits cuando se utiliza vSphere Client o vSphere Certificate Manager. vCenter Server aún acepta certificados personalizados con una longitud de clave de 2048 bits. En vSphere 8.0 Update 1 y versiones posteriores, puede utilizar vSphere Client para generar una CSR con una longitud de clave de 2048 bits.Nota: El certificado FIPS de vSphere solo valida los tamaños de clave RSA de 2048 y 3072 bits.
- Formato PEM. VMware admite PKCS8 y PKCS1 (claves RSA). Cuando se agregan claves a VECS, se convierten en PKCS8.
- x509 versión 3
- SubjectAltName debe contener DNS Name=machine_FQDN
- Formato CRT
- Contiene los siguientes usos de claves: firma digital, cifrado de clave.
- Si se excluye el certificado de usuario de la solución vpxd-extension, Uso mejorado de clave puede estar vacío o contener autenticación de servidor.
- Certificados con comodines.
- No se admiten los algoritmos md2WithRSAEncryption, md5WithRSAEncryption, RSASSA-PSS, dsaWithSHA1, ecdsa_with_SHA1 y sha1WithRSAEncryption.
- Al crear un certificado SSL de máquina personalizado para vCenter Server, la autenticación de servidor y la autenticación de cliente no son compatibles y deben eliminarse cuando se utilizan plantillas de entidad de certificación (CA) de Microsoft. Para obtener más información, consulte el artículo de la base de conocimientos de VMware en https://kb.vmware.com/s/article/2112009.
Cumplimiento del certificado de vSphere con RFC 2253
El certificado debe cumplir con RFC 2253.
Si no genera solicitudes de firma de certificados (Certificate Signature Request, CSR) con vSphere Certificate Manager, asegúrese de que la CSR incluya los siguientes campos.
Cadena | Tipo de atributo X.500 |
---|---|
CN | commonName |
L | localityName |
ST | stateOrProvinceName |
O | organizationName |
OU | organizationalUnitName |
C | countryName |
CALLE | streetAddress |
DC | domainComponent |
UID | userid |
- La contraseña del usuario [email protected] o del administrador del dominio de vCenter Single Sign-On al que se va a conectar.
- Información que vSphere Certificate Manager almacena en el archivo certool.cfg. En la mayoría de los campos, se puede aceptar el valor predeterminado o proporcionar valores específicos del sitio. Se requiere el FQDN de la máquina.
- Contraseña de [email protected]
- Código de país de dos letras
- Nombre de empresa
- Nombre de organización
- Unidad de organización
- Estado
- Localidad
- Dirección IP (opcional)
- Correo electrónico
- Nombre del host, es decir, el nombre de dominio completo de la máquina para la que se desea reemplazar el certificado. Si el nombre del host no coincide con el FQDN, el reemplazo de los certificados no se completa correctamente y el entorno puede quedar en un estado inestable.
- Dirección IP del nodo de vCenter Server en el que se ejecuta vSphere Certificate Manager.
Requisitos de certificación cuando se utiliza VMCA como entidad de certificación intermedia
Cuando se utiliza VMCA como entidad de certificación intermedia, los certificados deben cumplir los siguientes requisitos.
Tipo de certificado | Requisitos de certificados |
---|---|
Certificado raíz |
|
Certificado SSL de máquina | Se puede utilizar vSphere Certificate Manager para crear la solicitud CSR o crear manualmente la CSR. Si crea la CSR manualmente, debe cumplir con los requisitos enumerados anteriormente en la sección Requisitos para todos los certificados de vSphere importados. También tendrá que especificar el FQDN del host. |
Certificado de usuario de solución | Se puede utilizar vSphere Certificate Manager para crear la solicitud CSR o crear manualmente la CSR.
Nota: Debe utilizar un valor diferente en el nombre para cada usuario de solución. Si genera el certificado manualmente, es posible que esto se muestre como
CN en el
asunto, según la herramienta que utilice.
Si utiliza vSphere Certificate Manager, la herramienta le solicitará información del certificado para cada usuario de solución. vSphere Certificate Manager almacena la información en certool.cfg. Para el usuario de solución vpxd-extension, puede dejar el uso de clave extendida vacío o utilizar "Autenticación de cliente WWW de TLS". |
Requisitos cuando se utilizan certificados personalizados
Si desea utilizar certificados personalizados, los certificados deben cumplir los siguientes requisitos.
Tipo de certificado | Requisitos de certificados |
---|---|
Certificado SSL de máquina | El certificado SSL de máquina en cada nodo debe tener un certificado independiente de la entidad de certificación empresarial o externa.
|
Certificado de usuario de solución | Cada usuario de solución en cada nodo debe tener un certificado independiente de la entidad de certificación empresarial o externa.
Cuando reemplace posteriormente los certificados de usuario de solución por certificados personalizados, proporcione la cadena de certificados de firma completa de la entidad de certificación externa. Para el usuario de solución vpxd-extension, puede dejar el uso de clave extendida vacío o utilizar "Autenticación de cliente WWW de TLS". |