La entidad de certificación de VMware (VMware Certificate Authority, VMCA) aprovisiona a cada host ESXi nuevo con un certificado firmado cuya entidad de certificación raíz predeterminada es VMCA. El aprovisionamiento se produce cuando se agrega el host a vCenter Server explícitamente o bien como parte de la instalación o la actualización de ESXi.

Puede ver y administrar certificados de ESXi desde vSphere Client y con la API de vim.CertificateManager en vSphere Web Services SDK. No puede ver ni administrar los certificados de ESXi por medio de las CLI de administración de certificados que están disponibles para administrar certificados de vCenter Server.

Certificados en vSphere

Cuando ESXi y vCenter Server se comunican, estas utilizan TLS para casi todo el tráfico de administración.

vCenter Server admite los siguientes modos de certificado para hosts ESXi.
Tabla 1. Modos de certificación para hosts ESXi
Modo de certificación Descripción
VMware Certificate Authority (predeterminada) Utilice este modo si VMCA aprovisiona a todos los hosts ESXi, ya sea como entidad de certificación intermedia o de nivel superior.

VMCA aprovisiona de forma predeterminada a los hosts ESXi con certificados.

En este modo, es posible actualizar y renovar los certificados desde vSphere Client.

Entidad de certificación personalizada Utilice este modo si desea utilizar solamente certificados personalizados que estén firmados por una entidad de certificación externa o empresarial.
En este modo, usted es responsable de administrar los certificados. No puede actualizar ni renovar los certificados desde vSphere Client.
Nota: A menos que cambie el modo de certificación al modo Entidad de certificación personalizada, VMCA podrá reemplazar los certificados personalizados, por ejemplo, al seleccionar Renovar en vSphere Client.
Modo de huella digital vSphere 5.5 usaba el modo de huella digital, el cual todavía está disponible como opción de reserva para vSphere 6.x. En este modo, vCenter Server verifica que el certificado tenga el formato correcto, pero no verifica la validez del certificado. Se aceptan incluso los certificados que caducaron.

No utilice este modo a menos que detecte problemas con uno de los otros dos modos y no pueda solucionarlos. Algunos servicios de vCenter Server 6.x y de versiones posteriores podrían funcionar mal en el modo de huella digital.

Caducidad de los certificados de ESXi

Puede ver información sobre la caducidad de los certificados firmados por VMCA o por una entidad de certificación externa en vSphere Client. Puede ver la información de todos los hosts administrados por vCenter Server o de hosts individuales. Una alarma de color amarillo se enciende si el certificado se encuentra en estado Por caducar en breve (dentro de menos de ocho meses). Una alarma de color rojo se enciende si el certificado se encuentra en estado Caducidad inminente (dentro de menos de dos meses).

Certificados y aprovisionamiento de ESXi

Cuando inicia un host ESXi desde los medios de instalación, el host en principio tiene un certificado autogenerado. Cuando se agrega el host al sistema vCenter Server, se le aprovisiona un certificado firmado por VMCA como entidad de certificación raíz.

También se pueden utilizar certificados personalizados firmados por un tercero o una entidad de certificación empresarial para hosts ESXi.

Certificados y aprovisionamiento de ESXi en Auto Deploy

El proceso es similar para los hosts aprovisionados con Auto Deploy. No obstante, dado que esos hosts no almacenan ningún estado, el servidor Auto Deploy almacena el certificado firmado en su almacén local de certificados. El certificado se vuelve a utilizar en los arranques subsiguientes de los hosts ESXi. Un servidor Auto Deploy forma parte de cualquier implementación integrada o sistema de vCenter Server.

Si VMCA no está disponible cuando un host Auto Deploy se inicia por primera vez, el host primero intenta conectarse. Si el host no puede conectarse, realiza un ciclo de apagado y reinicio hasta que VMCA está disponible y el host puede aprovisionarse con un certificado firmado.

Puede hacer que Auto Deploy sea una entidad de certificación subordinada de una entidad de certificación de terceros. En este caso, los certificados generados se firman con la clave SSL de Auto Deploy. Consulte Convertir a Auto Deploy en una autoridad de certificación subordinada.

A partir de 8.0, es posible utilizar certificados personalizados (certificados firmados por una entidad de certificación) con Auto Deploy. Cuando se inicia el host, Auto Deploy asocia el certificado personalizado con una dirección MAC o el UUID del BIOS del host ESXi. Consulte Usar certificados personalizados con Auto Deploy.

Privilegios necesarios para la administración de certificados de ESXi

El privilegio de Certificados.Administrar certificados es necesario para que los usuarios administren los certificados del host ESXi.

Cambios en la dirección IP y el nombre de host ESXi

Un cambio en el nombre de host ESXi o la dirección IP podría afectar si vCenter Server considera que un certificado de host es válido o no. El modo en que se agregó el host ESXi a vCenter Server puede hacer que sea necesario una intervención manual. Por intervención manual se entiende que se debe volver a conectar el host, o bien se lo debe quitar de vCenter Server y volver a agregar.

Tabla 2. Cuando el nombre de host o la dirección IP se deben cambiar de forma manual
Se agregó un host ESXi a vCenter Server mediante... Cambios en el nombre del host ESXi Cambios en la dirección IP de ESXi
Nombre de host Problema de conectividad de vCenter Server. Se necesita una intervención manual. No se debe realizar ninguna acción.
Dirección IP No se debe realizar ninguna acción. Problema de conectividad de vCenter Server. Se necesita una intervención manual.