Puede utilizar vSphere Client para reemplazar los certificados predeterminados por certificados personalizados.

Puede utilizar el vSphere Client para generar CSR para cada máquina y reemplazar los certificados cuando los reciba de la entidad de certificación (CA) interna o externa. Cuando entrega las CSR a su CA interna o externa, la CA devuelve certificados firmados y el certificado raíz. Se puede cargar el certificado raíz y los certificados firmados desde la vSphere Client.

Generar una solicitud de firma del certificado para el certificado SSL de máquina con vSphere Client (certificados personalizados)

El certificado SSL de máquina se utiliza en el servicio de proxy inverso de cada nodo de vCenter Server. Cada máquina debe tener un certificado SSL de máquina para establecer una comunicación segura con otros servicios. Puede utilizar vSphere Client para generar una solicitud de firma del certificado (CSR) para el certificado SSL de máquina y reemplazar el certificado una vez que esté listo.

Requisitos previos

El certificado debe cumplir con los siguientes requisitos:

  • Tamaño de clave: de 2048 bits (mínimo) a 8192 bits (máximo) (formato codificado PEM). vSphere Client y la API siguen aceptando un tamaño de clave de hasta 16.384 bits al generar la solicitud de firma del certificado.
  • Formato CRT
  • x509 versión 3
  • SubjectAltName debe contener DNS Name=<machine_FQDN>.
  • Contiene los siguientes usos de claves: firma digital, cifrado de clave
Nota: El certificado FIPS de vSphere solo valida los tamaños de clave RSA de 2048 y 3072 bits.

Procedimiento

  1. Inicie sesión con vSphere Client en vCenter Server.
  2. Especifique el nombre de usuario y la contraseña para [email protected] u otro miembro del grupo de administradores de vCenter Single Sign-On.
    Si especificó otro dominio durante la instalación, inicie sesión como administrator@ mydomain.
  3. Desplácese hasta la interfaz de usuario de administración de certificados.
    1. En el menú Inicio, seleccione Administración.
    2. En Certificados, haga clic en Administración de certificados.
  4. Introduzca las credenciales de vCenter Server.
  5. Genere la CSR.
    1. En la pestaña SSL de máquina, seleccione el certificado deseado y haga clic en Generar solicitud de firma del certificado (CSR).
    2. Introduzca la información del certificado y haga clic en Siguiente.
      2048 (bits) es el valor predeterminado para el tamaño de clave. Cambie este valor según sea necesario.
      Nota: Cuando se utiliza vCenter Server para generar una CSR con un tamaño de clave grande, la generación tarda unos minutos en completarse debido a la naturaleza de la operación que requiere un uso intensivo de la CPU.
    3. Copie o descargue la CSR.
    4. Haga clic en Finalizar.
    5. Proporcione la CSR a su entidad de certificación.

Qué hacer a continuación

Cuando la entidad de certificación devuelve el certificado, reemplace el certificado existente en el almacén de certificados. Consulte Agregar certificados personalizados mediante vSphere Client.

Agregar un certificado raíz de confianza al almacén de certificados mediante vSphere Client

Si desea utilizar certificados de terceros en su entorno, debe agregar un certificado raíz de confianza al almacén de certificados. Puede hacerlo mediante vSphere Client.

Requisitos previos

Obtenga el certificado raíz personalizado de la entidad de certificación (CA) interna o de terceros.

vSphere solo acepta certificados de CA válidos para la importación. Para que sea válido, un certificado de CA debe tener el bit de CA y el bit keyCertSign establecidos en la restricción básica y las extensiones de certificado X.509 v3 de uso de clave, respectivamente. Esto implica que el certificado sea de CA y su finalidad sea la firma de certificados. Consulte https://www.rfc-editor.org/rfc/rfc5280 para obtener más información.

Asegúrese de que el bit keyCertSign esté establecido para todos los certificados de la cadena.

Procedimiento

  1. Inicie sesión con vSphere Client en vCenter Server.
  2. Especifique el nombre de usuario y la contraseña para [email protected] u otro miembro del grupo de administradores de vCenter Single Sign-On.
    Si especificó otro dominio durante la instalación, inicie sesión como administrator@ mydomain.
  3. Desplácese hasta la interfaz de usuario de administración de certificados.
    1. En el menú Inicio, seleccione Administración.
    2. En Certificados, haga clic en Administración de certificados.
  4. Si el sistema lo solicita, introduzca las credenciales de su instancia de vCenter Server.
  5. En la pestaña Raíz de confianza, haga clic en Agregar certificado raíz de confianza.
  6. Haga clic en Examinar y seleccione la ubicación de la cadena de certificados.
    Puede usar un archivo del tipo CER, PEM o CRT.
  7. Haga clic en Agregar.
    El certificado se agrega al almacén.
    Nota: En vSphere 8.0 Update 2 y otras versiones posteriores, se elimina la casilla de verificación Iniciar inserción de certificado raíz en hosts de vCenter. vCenter Server inserta los certificados raíz en todos los hosts conectados del inventario cuando se agrega un certificado. Cuando se conecta un host con certificados raíz diferentes de vCenter Server, vCenter Server inserta los certificados raíz para corregir esta diferencia. En este caso, los certificados raíz de vCenter Server sobrescriben los del host para que los administradores puedan asegurarse de que los certificados raíz personalizados necesarios en todo el inventario se agreguen a vCenter Server.

Agregar certificados personalizados mediante vSphere Client

Puede utilizar vSphere Client para agregar certificados SSL de máquina personalizados al almacén de certificados.

Por lo general, reemplazar el certificado SSL de máquina para cada componente es suficiente.

Requisitos previos

Genere solicitudes de firma de certificado (Certificate Signing Requests, CSR) para cada certificado que desea reemplazar. Consulte Generar una solicitud de firma del certificado para el certificado SSL de máquina con vSphere Client (certificados personalizados). Coloque el certificado y la clave privada en una ubicación accesible para vCenter Server.

Procedimiento

  1. Inicie sesión con vSphere Client en vCenter Server.
  2. Especifique el nombre de usuario y la contraseña para [email protected] u otro miembro del grupo de administradores de vCenter Single Sign-On.
    Si especificó otro dominio durante la instalación, inicie sesión como administrator@ mydomain.
  3. Desplácese hasta la interfaz de usuario de administración de certificados.
    1. En el menú Inicio, seleccione Administración.
    2. En Certificados, haga clic en Administración de certificados.
  4. Si el sistema lo solicita, introduzca las credenciales de su instancia de vCenter Server.
  5. En la pestaña SSL de máquina, seleccione el certificado y, a continuación, haga clic en Importar y reemplazar certificado.
  6. Haga clic en la opción de reemplazo de certificados adecuada y, a continuación, haga clic en Siguiente.
    Opción Descripción
    Reemplazar con un certificado de VMCA Crea una CSR generada por VMCA para reemplazar el certificado actual.
    Reemplazar con un certificado de CA externa en el que se genera una CSR a partir de vCenter Server (clave privada integrada) Utilice un certificado firmado mediante una CSR generada por vCenter Server para reemplazar el certificado actual.
    Reemplazar con un certificado de entidad de certificación externa (requiere clave privada) Utilice un certificado firmado por una entidad de certificación externa para reemplazar el certificado actual.
  7. Introduzca la información de CSR o cargue los certificados apropiados.
  8. Haga clic en la casilla de verificación para confirmar que ha realizado una copia de seguridad de vCenter Server y sus bases de datos.
  9. Revise la información y haga clic en Finalizar.
    El sistema reemplaza el certificado y muestra un mensaje de operación correcta.
  10. Cuando aparezca el mensaje de que se cambió el certificado, haga clic en Actualizar para actualizar el navegador.

Generar un certificado de hoja de VMCA

Es posible generar un certificado de hoja firmado por VMware Certificate Authority (VMCA) para usarlo en la infraestructura de VMware.

Además de VMware Certificate Authority (VMCA) que se ocupa de toda la administración de certificados, puede generar certificados de hoja. VMCA firma los certificados de hoja y estos se utilizan para identificar otros recursos de VMware. Los certificados de hoja generados por VMCA no se almacenan en VECS. Además, vCenter Server no realiza un seguimiento de estos certificados de hoja para comprobar su caducidad.

Requisitos previos

Genere una solicitud de firma del certificado (Certificate Signing Request, CSR) en el host de la infraestructura de VMware en la que desea instalar el certificado de hoja.

Procedimiento

  1. Inicie sesión con vSphere Client en vCenter Server.
  2. Especifique el nombre de usuario y la contraseña para [email protected] u otro miembro del grupo de administradores de vCenter Single Sign-On.
    Si especificó otro dominio durante la instalación, inicie sesión como administrator@ mydomain.
  3. Desplácese hasta la interfaz de usuario de administración de certificados.
    1. En el menú Inicio, seleccione Administración.
    2. En Certificados, haga clic en Administración de certificados.
  4. Si el sistema lo solicita, introduzca las credenciales de su instancia de vCenter Server.
  5. En la pestaña Raíz de confianza, seleccione el certificado raíz de VMCA y haga clic en Emitir nuevo certificado de hoja.
  6. Busque la CSR que generó anteriormente, especifique una duración y, a continuación, haga clic en Siguiente.
  7. Haga clic en Descargar certificados para guardar los certificados raíz y de hoja.

Resultados

Los certificados raíz y de hoja generados se crean y se descargan en la ubicación especificada.

Qué hacer a continuación

Importe los certificados raíz y de hoja en el host de destino de su infraestructura de VMware.