De manera predeterminada, el servidor Auto Deploy aprovisiona cada host con certificados que estén firmados por VMware Certificate Authority (VMCA). Es posible configurar el servidor Auto Deploy para que aprovisione todos los hosts con certificados personalizados que no estén firmados por VMCA. En ese caso, el servidor Auto Deploy se transforma en una entidad de certificación subordinada a la entidad de certificación externa.

Requisitos previos

  • Solicite a la CA un certificado. El certificado debe cumplir con estos requisitos.
    • Tamaño de clave: de 2048 bits (mínimo) a 8192 bits (máximo) (formato codificado PEM)
    • Formato PEM. VMware admite PKCS8 y PKCS1 (claves RSA). Cuando se agregan claves a VECS, se convierten en PKCS8.
    • x509 versión 3
    • Para los certificados raíz, la extensión CA se debe establecer en true y el signo cert debe estar en la lista de requisitos.
    • SubjectAltName debe contener DNS Name=<machine_FQDN>.
    • Formato CRT
    • Contiene los siguientes usos de claves: firma digital, cifrado de clave
    • Hora de inicio de un día anterior a la hora actual.
    • CN (y SubjectAltName) establecidos con el nombre de host (o dirección IP) que el host ESXi tiene en el inventario de vCenter Server.
    Nota: El certificado FIPS de vSphere solo valida los tamaños 2048 y 3072 de clave RSA. Consulte Consideraciones al utilizar FIPS.
  • Asigne un nombre para el certificado y los archivos de claves rbd-ca.crt y rbd-ca.key.

Procedimiento

  1. Realice una copia de seguridad de los certificados de ESXi predeterminados.
    Los certificados están en el directorio /etc/vmware-rbd/ssl/.
  2. Detenga el servicio de vSphere Authentication Proxy.
    Herramienta Pasos
    Interfaz de administración de vCenter Server
    1. En un explorador web, vaya a la interfaz de administración de vCenter Server, https://dirección-IP-o-FQDN-de-vCenter:5480.
    2. Inicie sesión como raíz.

      La contraseña raíz predeterminada es la que estableció al implementar vCenter Server.

    3. Haga clic en Servicios y en VMware vSphere Authentication Proxy.
    4. Haga clic en Detener.
    CLI 
    service-control --stop vmcam
  3. En el sistema donde se ejecuta el servicio de Auto Deploy, reemplace rbd-ca.crt y rbd-ca.key en /etc/vmware-rbd/ssl/ por el certificado personalizado y los archivos de claves.
  4. En el sistema donde se ejecuta el servicio de Auto Deploy, ejecute el siguiente comando a fin de actualizar el almacén TRUSTED_ROOTS en VMware Endpoint Certificate Store (VECS) para utilizar los nuevos certificados. 
    /usr/lib/vmware-vmafd/bin/dir-cli trustedcert publish --cert /etc/vmware-rbd/ssl/rbd-ca.crt
/usr/lib/vmware-vmafd/bin/vecs-cli force-refresh
  5. Cree un archivo castore.pem que incluya el contenido del almacén TRUSTED_ROOTS y coloque el archivo en el directorio /etc/vmware-rbd/ssl/.
    En el modo personalizado, usted es responsable de mantener este archivo.
  6. Cambie el modo de certificación de ESXi del sistema de vCenter Server a custom.
    Consulte Cambiar el modo de certificado de ESXi.
  7. Reinicie el servicio de vCenter Server e inicie el servicio de Auto Deploy.

Resultados

La próxima vez que aprovisione un host que esté configurado para usar Auto Deploy, el servidor Auto Deploy generará un certificado. El servidor Auto Deploy utiliza el certificado raíz que agregó al almacén TRUSTED_ROOTS.

Nota: Si tiene problemas con Auto Deploy después de reemplazar el certificado, consulte el artículo de la base de conocimientos de VMware en https://kb.vmware.com/s/article/2000988.