Puede utilizar vSphere Client para reemplazar los certificados predeterminados por certificados personalizados.
Puede utilizar el vSphere Client para generar CSR para cada máquina y reemplazar los certificados cuando los reciba de la entidad de certificación (CA) interna o externa. Cuando entrega las CSR a su CA interna o externa, la CA devuelve certificados firmados y el certificado raíz. Se puede cargar el certificado raíz y los certificados firmados desde la vSphere Client.
Generar una solicitud de firma del certificado para el certificado SSL de máquina con vSphere Client (certificados personalizados)
El certificado SSL de máquina se utiliza en el servicio de proxy inverso de cada nodo de vCenter Server. Cada máquina debe tener un certificado SSL de máquina para establecer una comunicación segura con otros servicios. Puede utilizar vSphere Client para generar una solicitud de firma del certificado (CSR) para el certificado SSL de máquina y reemplazar el certificado una vez que esté listo.
Requisitos previos
El certificado debe cumplir con los siguientes requisitos:
- Tamaño de clave: de 2048 bits (mínimo) a 8192 bits (máximo) (formato codificado PEM). vSphere Client y la API siguen aceptando un tamaño de clave de hasta 16.384 bits al generar la solicitud de firma del certificado.
- Formato CRT
- x509 versión 3
- SubjectAltName debe contener DNS Name=<machine_FQDN>.
- Contiene los siguientes usos de claves: firma digital, cifrado de clave
Procedimiento
Qué hacer a continuación
Cuando la entidad de certificación devuelve el certificado, reemplace el certificado existente en el almacén de certificados. Consulte Agregar certificados personalizados mediante vSphere Client.
Agregar un certificado raíz de confianza al almacén de certificados mediante vSphere Client
Si desea utilizar certificados de terceros en su entorno, debe agregar un certificado raíz de confianza al almacén de certificados. Puede hacerlo mediante vSphere Client.
Requisitos previos
Obtenga el certificado raíz personalizado de la entidad de certificación (CA) interna o de terceros.
vSphere solo acepta certificados de CA válidos para la importación. Para que sea válido, un certificado de CA debe tener el bit de CA y el bit keyCertSign establecidos en la restricción básica y las extensiones de certificado X.509 v3 de uso de clave, respectivamente. Esto implica que el certificado sea de CA y su finalidad sea la firma de certificados. Consulte https://www.rfc-editor.org/rfc/rfc5280 para obtener más información.
Asegúrese de que el bit keyCertSign esté establecido para todos los certificados de la cadena.
Procedimiento
Agregar certificados personalizados mediante vSphere Client
Puede utilizar vSphere Client para agregar certificados SSL de máquina personalizados al almacén de certificados.
Por lo general, reemplazar el certificado SSL de máquina para cada componente es suficiente.
Requisitos previos
Genere solicitudes de firma de certificado (Certificate Signing Requests, CSR) para cada certificado que desea reemplazar. Consulte Generar una solicitud de firma del certificado para el certificado SSL de máquina con vSphere Client (certificados personalizados). Coloque el certificado y la clave privada en una ubicación accesible para vCenter Server.
Procedimiento
Generar un certificado de hoja de VMCA
Es posible generar un certificado de hoja firmado por VMware Certificate Authority (VMCA) para usarlo en la infraestructura de VMware.
Además de VMware Certificate Authority (VMCA) que se ocupa de toda la administración de certificados, puede generar certificados de hoja. VMCA firma los certificados de hoja y estos se utilizan para identificar otros recursos de VMware. Los certificados de hoja generados por VMCA no se almacenan en VECS. Además, vCenter Server no realiza un seguimiento de estos certificados de hoja para comprobar su caducidad.
Requisitos previos
Genere una solicitud de firma del certificado (Certificate Signing Request, CSR) en el host de la infraestructura de VMware en la que desea instalar el certificado de hoja.
Procedimiento
Resultados
Los certificados raíz y de hoja generados se crean y se descargan en la ubicación especificada.
Qué hacer a continuación
Importe los certificados raíz y de hoja en el host de destino de su infraestructura de VMware.