De forma predeterminada, VMware Certificate Authority (VMCA) aprovisiona a ESXi con certificados. Utilice el modo personalizado al reemplazar certificados de VMCA por certificados personalizados. Utilice el modo de huella digital heredado para la depuración. Si el cambio de modo es necesario, revise el posible impacto que puede provocar antes de realizarlo.
Para obtener una explicación sobre los modos de certificación, consulte Certificados y modos de certificación.
Usar certificados ESXi personalizados
Si la directiva de la empresa exige que se use una entidad de certificación raíz distinta de VMCA, puede cambiar el modo de certificación en el entorno después de una minuciosa planificación. El siguiente es el flujo de trabajo.
- Cambie al modo personalizado. Consulte Cambiar el modo de certificado de ESXi.
Al cambiar el modo, vSphere Client activará el menú desplegable Administrar con CA externa para que pueda generar la solicitud de firma del certificado.
- Agregue el certificado raíz de la entidad de certificación personalizada a VMware Endpoint Certificate Store (VECS).
- Genere la solicitud de firma del certificado y obtenga los certificados que desea utilizar.
Es posible que tenga que esperar un tiempo para que se devuelva la solicitud de firma del certificado.
- Importe el certificado de CA personalizado en el host vCenter Server.
Espere un tiempo a que vCenter Server distribuya el certificado de CA personalizado a los hosts ESXi.
Cambiar del modo de entidad de certificación personalizada al modo VMCA
Si está usando el modo de entidad de certificación personalizada y cree que el modo VMCA puede funcionar mejor en su entorno, puede realizar el cambio de modo después de una minuciosa planificación. El siguiente es el flujo de trabajo.
- Quite todos los hosts del sistema vCenter Server.
- En el sistema vCenter Server, elimine de VECS el certificado raíz de la entidad de certificación externa.
- Cambie al modo vmca. Consulte Cambiar el modo de certificado de ESXi.
- Agregue los hosts al sistema vCenter Server.
Conservar los certificados del modo de huella digital durante la actualización
El cambio del modo VMCA al modo de huella digital puede resultar necesario si se producen problemas con los certificados de VMCA. En el modo de huella digital, el sistema vCenter Server comprueba que exista un solo certificado y que su formato sea el correcto, pero no comprueba si el certificado es válido. Consulte Cambiar el modo de certificado de ESXi para obtener instrucciones.
Cambiar del modo de huella digital al modo VMCA
Si usa el modo de huella digital y desea comenzar a usar certificados firmados por VMCA, debe planificar un poco el cambio. El siguiente es el flujo de trabajo.
- Quite todos los hosts ESXi del sistema vCenter Server.
- Cambie al modo vmca. Consulte Cambiar el modo de certificado de ESXi.
- Agregue los hosts ESXi al sistema vCenter Server.
Cambiar del modo de entidad de certificación personalizada al modo de huella digital
Si experimenta problemas con la entidad de certificación personalizada, considere cambiar temporalmente al modo de huella digital. El cambio se ejecutará sin problemas si sigue las instrucciones detalladas en Cambiar el modo de certificado de ESXi. Después de cambiar el modo, el sistema vCenter Server comprueba solamente el formato del certificado y ya no comprueba la validez del certificado.
Cambiar del modo de huella digital al modo de entidad de certificación personalizada
Si establece el entorno en el modo de huella digital durante la solución de problemas y desea comenzar a usar el modo de entidad de certificación personalizada, primero debe generar los certificados necesarios. El siguiente es el flujo de trabajo.
- Quite todos los hosts ESXi del sistema vCenter Server.
- Agregue el certificado raíz de la entidad de certificación personalizada al almacén TRUSTED_ROOTS de VECS en el sistema vCenter Server. Consulte Actualizar el almacén TRUSTED_ROOTS de vCenter Server (certificados personalizados).
- En cada host ESXi:
- Implemente la clave y el certificado de la entidad de certificación personalizada.
- Reinicie los servicios del host.
- Cambie al modo personalizado. Consulte Cambiar el modo de certificado de ESXi.
- Agregue los hosts ESXi al sistema vCenter Server.