Puede utilizar vSphere Client para reemplazar los certificados predeterminados por certificados personalizados.

Puede utilizar el vSphere Client para generar CSR para cada máquina y reemplazar los certificados cuando los reciba de la entidad de certificación (CA) interna o externa. Cuando entrega las CSR a su CA interna o externa, la CA devuelve certificados firmados y el certificado raíz. Se puede cargar el certificado raíz y los certificados firmados desde la vSphere Client.

Generar una solicitud de firma del certificado para el certificado SSL de máquina con vSphere Client (certificados personalizados)

El certificado SSL de máquina se utiliza en el servicio de proxy inverso de cada nodo de vCenter Server. Cada máquina debe tener un certificado SSL de máquina para establecer una comunicación segura con otros servicios. Puede utilizar vSphere Client para generar una solicitud de firma del certificado (CSR) para el certificado SSL de máquina y reemplazar el certificado una vez que esté listo.

Requisitos previos

El certificado debe cumplir con los siguientes requisitos:

  • Tamaño de clave: de 2.048 bits (mínimo) a 16.384 bits (máximo) (formato codificado PEM)
  • Formato CRT
  • x509 versión 3
  • SubjectAltName debe contener DNS Name=<machine_FQDN>.
  • Contiene los siguientes usos de claves: firma digital, cifrado de clave
Nota: El certificado FIPS de vSphere solo valida los tamaños de clave RSA de 2048 y 3072 bits.

Procedimiento

  1. Inicie sesión con vSphere Client en vCenter Server.
  2. Especifique el nombre de usuario y la contraseña para administrator@vsphere.local u otro miembro del grupo de administradores de vCenter Single Sign-On.
    Si especificó otro dominio durante la instalación, inicie sesión como administrator@ mydomain.
  3. Desplácese hasta la interfaz de usuario de administración de certificados.
    1. En el menú Inicio, seleccione Administración.
    2. En Certificados, haga clic en Administración de certificados.
  4. Introduzca las credenciales de vCenter Server.
  5. Genere la CSR.
    1. En el mosaico Certificado SSL de máquina, haga clic en Acciones > Generar solicitud de firma del certificado (CSR).
    2. Introduzca la información del certificado y haga clic en Siguiente.
      2048 (bits) es el valor predeterminado para el tamaño de clave. Cambie este valor según sea necesario.
      Nota: Cuando se utiliza vCenter Server para generar una CSR con un tamaño de clave de 16.384 bits, la generación tarda unos minutos en completarse debido a la naturaleza de la operación que requiere un uso intensivo de la CPU.
    3. Copie o descargue la CSR.
    4. Haga clic en Finalizar.
    5. Proporcione la CSR a su entidad de certificación.

Qué hacer a continuación

Cuando la entidad de certificación devuelve el certificado, reemplace el certificado existente en el almacén de certificados. Consulte Agregar certificados personalizados mediante vSphere Client.

Agregar un certificado raíz de confianza al almacén de certificados mediante vSphere Client

Si desea utilizar certificados de terceros en su entorno, debe agregar un certificado raíz de confianza al almacén de certificados. Puede hacerlo mediante vSphere Client.

Requisitos previos

Obtenga el certificado raíz personalizado de la entidad de certificación (CA) interna o de terceros.

vSphere solo acepta certificados de CA válidos para la importación. Para que sea válido, un certificado de CA debe tener el bit de CA y el bit keyCertSign establecidos en la restricción básica y las extensiones de certificado X.509 v3 de uso de clave, respectivamente. Esto implica que el certificado sea de CA y su finalidad sea la firma de certificados. Consulte https://www.rfc-editor.org/rfc/rfc5280 para obtener más información.

Procedimiento

  1. Inicie sesión con vSphere Client en vCenter Server.
  2. Especifique el nombre de usuario y la contraseña para administrator@vsphere.local u otro miembro del grupo de administradores de vCenter Single Sign-On.
    Si especificó otro dominio durante la instalación, inicie sesión como administrator@ mydomain.
  3. Desplácese hasta la interfaz de usuario de administración de certificados.
    1. En el menú Inicio, seleccione Administración.
    2. En Certificados, haga clic en Administración de certificados.
  4. Si el sistema lo solicita, introduzca las credenciales de su instancia de vCenter Server.
  5. En Certificados raíz de confianza, haga clic en Agregar.
  6. Haga clic en Examinar y seleccione la ubicación de la cadena de certificados.
    Puede usar un archivo del tipo CER, PEM o CRT.
  7. Haga clic en Agregar.
    El certificado se agrega al almacén.

Agregar certificados personalizados mediante vSphere Client

Puede utilizar vSphere Client para agregar certificados SSL de máquina personalizados al almacén de certificados.

Por lo general, reemplazar el certificado SSL de máquina para cada componente es suficiente.

Requisitos previos

Genere solicitudes de firma de certificado (Certificate Signing Requests, CSR) para cada certificado que desea reemplazar. Consulte Generar una solicitud de firma del certificado para el certificado SSL de máquina con vSphere Client (certificados personalizados). Coloque el certificado y la clave privada en una ubicación accesible para vCenter Server.

Procedimiento

  1. Inicie sesión con vSphere Client en vCenter Server.
  2. Especifique el nombre de usuario y la contraseña para administrator@vsphere.local u otro miembro del grupo de administradores de vCenter Single Sign-On.
    Si especificó otro dominio durante la instalación, inicie sesión como administrator@ mydomain.
  3. Desplácese hasta la interfaz de usuario de administración de certificados.
    1. En el menú Inicio, seleccione Administración.
    2. En Certificados, haga clic en Administración de certificados.
  4. Si el sistema lo solicita, introduzca las credenciales de su instancia de vCenter Server.
  5. En el mosaico Certificado SSL de máquina, haga clic en Acciones > Importar y reemplazar certificado.
  6. Haga clic en la opción de reemplazo de certificados adecuada y, a continuación, haga clic en Siguiente.
    Opción Descripción
    Reemplazar con VMCA Crea una CSR generada por VMCA para reemplazar el certificado actual.
    Reemplazar con un certificado generado desde vCenter Server Utilice un certificado firmado mediante una CSR generada por vCenter Server para reemplazar el certificado actual.
    Reemplazar con un certificado de entidad de certificación externa (requiere clave privada) Utilice un certificado firmado por una entidad de certificación externa para reemplazar el certificado actual.
  7. Introduzca la información de CSR o cargue los certificados apropiados.
  8. Haga clic en Reemplazar.
    Los servicios de vCenter Server se reinician automáticamente.