La entidad de certificación de VMware (VMware Certificate Authority, VMCA) aprovisiona a cada host ESXi nuevo con un certificado firmado cuya entidad de certificación raíz predeterminada es VMCA. El aprovisionamiento se produce cuando se agrega un host a vCenter Server explícitamente, o bien como parte de la instalación o la actualización de ESXi.
Puede ver y administrar certificados de ESXi desde vSphere Client y con la API de vim.CertificateManager en vSphere Web Services SDK. No puede ver ni administrar los certificados de ESXi por medio de las CLI de administración de certificados que están disponibles para administrar certificados de vCenter Server.
A partir de vSphere 8.0 Update 3, puede reemplazar los certificados de ESXi sin poner el host en modo de mantenimiento y sin tener que reiniciar el host o los servicios individuales.
Certificados y modos de certificación
Cuando ESXi y vCenter Server se comunican, estas utilizan TLS para casi todo el tráfico de administración.
vCenter Server admite los siguientes certificados y modos de certificación para hosts ESXi.
Modo de certificación | Descripción |
---|---|
VMware Certificate Authority (predeterminada) | De forma predeterminada, se usa VMware Certificate Authority como entidad de certificación para los certificados de hosts ESXi. VMCA es la entidad de certificación raíz predeterminada, pero se puede configurar como la entidad de certificación intermedia de otra entidad. En el modo vmca, es posible renovar y actualizar los certificados desde vSphere Client. También se usa si VMCA es un certificado subordinado. |
Entidad de certificación personalizada | Utilice este modo si desea utilizar solamente certificados personalizados que estén firmados por una entidad de certificación externa o empresarial. En el modo personalizado, la administración de los certificados es responsabilidad suya. A partir de vSphere 8.0 Update 3, puede administrar certificados personalizados desde vSphere Client.
Nota: A menos que cambie el modo de certificación al modo Entidad de certificación personalizada (
personalizado), VMCA podrá reemplazar los certificados personalizados, por ejemplo, al seleccionar
Renovar en
vSphere Client.
|
Modo de huella digital | vSphere 5.5 usaba el modo huella digital, el cual todavía está disponible como opción de reserva para vSphere 6.x. En este modo, vCenter Server verifica que el certificado tenga el formato correcto, pero no verifica la validez del certificado. Se aceptan incluso los certificados que caducaron. No utilice este modo a menos que detecte problemas con uno de los otros dos modos y no pueda solucionarlos. Algunos servicios de vCenter Server 6.x y de versiones posteriores podrían funcionar mal en el modo de huella digital. |
Para cambiar el modo de certificación y utilizar un tipo de certificado diferente, consulte Flujos de trabajo de cambio de modo de certificado de ESXi y Cambiar el modo de certificado de ESXi.
Caducidad de los certificados de ESXi
Puede ver información sobre la caducidad de los certificados firmados por VMCA o por una entidad de certificación externa en vSphere Client. Puede ver la información de todos los hosts que vCenter Server administra o de hosts individuales. Una alarma de color amarillo se enciende si el certificado se encuentra en estado Por caducar en breve (dentro de menos de ocho meses). Una alarma de color rojo se enciende si el certificado se encuentra en estado Caducidad inminente (dentro de menos de dos meses).
Certificados y aprovisionamiento de ESXi
Cuando inicia un host ESXi desde los medios de instalación, el host en principio tiene un certificado autogenerado. Cuando se agrega un host al sistema vCenter Server, vCenter Server aprovisiona el host con un certificado firmado por VMCA como CA raíz.
También se pueden utilizar certificados personalizados firmados por un tercero o una entidad de certificación empresarial para hosts ESXi.
Certificados y aprovisionamiento de ESXi en Auto Deploy
El proceso es similar para los hosts aprovisionados con Auto Deploy. No obstante, dado que esos hosts no almacenan ningún estado, el servidor Auto Deploy almacena el certificado firmado en su almacén local de certificados. El certificado se vuelve a utilizar en los arranques subsiguientes de los hosts ESXi. Un servidor Auto Deploy forma parte de cualquier implementación integrada o sistema de vCenter Server.
Si VMCA no está disponible cuando un host Auto Deploy se inicia por primera vez, el host primero intenta conectarse. Si el host no puede conectarse, realiza un ciclo de apagado y reinicio hasta que VMCA está disponible y el host puede aprovisionarse con un certificado firmado.
Puede hacer que Auto Deploy sea una entidad de certificación subordinada de una entidad de certificación de terceros. En este caso, los certificados generados se firman con la clave SSL de Auto Deploy. Consulte Convertir a Auto Deploy en una autoridad de certificación subordinada.
En ESXi 8.0 y versiones posteriores, puede utilizar certificados personalizados (firmados por una entidad de certificación) con Auto Deploy. Cuando se inicia el host, Auto Deploy asocia el certificado personalizado con una dirección MAC o el UUID del BIOS del host ESXi. Consulte Usar certificados personalizados con Auto Deploy.
Privilegios necesarios para la administración de certificados de ESXi
El privilegio de ESXi.
es necesario para que los usuarios administren los certificados del hostCambios en la dirección IP y el nombre de host ESXi
Un cambio en el nombre de host ESXi o la dirección IP podría afectar si vCenter Server considera que un certificado de host es válido o no. El modo en que se agregó el host ESXi a vCenter Server puede hacer que sea necesario una intervención manual. Por intervención manual se entiende que se debe volver a conectar el host, o bien se lo debe quitar de vCenter Server y volver a agregar.
Se agregó un host ESXi a vCenter Server mediante... | Cambios en el nombre del host ESXi | Cambios en la dirección IP de ESXi |
---|---|---|
Nombre de host | Problema de conectividad de vCenter Server. Se necesita una intervención manual. | No se debe realizar ninguna acción. |
Dirección IP | No se debe realizar ninguna acción. | Problema de conectividad de vCenter Server. Se necesita una intervención manual. |