La directiva de seguridad de su empresa puede requerir que reemplace el certificado SSL predeterminado de ESXi por un certificado firmado por una entidad de certificación (CA) externa en todos los hosts.
De forma predeterminada, los componentes de vSphere utilizan el certificado firmado por VMCA y la clave que se crean durante la instalación. Si elimina el certificado firmado por VMCA de forma accidental, quite el host de su sistema vCenter Server y vuelva a agregarlo. Al agregar el host, vCenter Server solicita un certificado nuevo de VMCA y aprovisiona el host con este certificado.
Puede reemplazar los certificados firmados por VMCA por certificados de una entidad de certificación de confianza, ya sea una CA comercial o una CA organizativa, si la directiva de su empresa lo requiere.
Puede reemplazar los certificados predeterminados por certificados personalizados mediante vSphere Client o la CLI.
Antes de reemplazar el certificado, debe actualizar el almacén TRUSTED_ROOTS de VECS en el sistema vCenter Server que administra el host, para que vCenter Server y el host ESXi tengan una relación de confianza.
Requisitos para las solicitudes de firma del certificado de ESXi para certificados personalizados
Utilice una CSR con estas características:
- Tamaño de clave: de 2048 bits (mínimo) a 8192 bits (máximo) (formato codificado PEM)
- Formato PEM. VMware admite PKCS8 y PKCS1 (claves RSA). Cuando se agregan claves a VECS, se convierten en PKCS8.
- x509 versión 3
- Para los certificados raíz, la extensión CA se debe establecer en true y el signo cert debe estar en la lista de requisitos.
- SubjectAltName debe contener DNS Name=<machine_FQDN>.
- Formato CRT
- Contiene los siguientes usos de claves: firma digital, cifrado de clave
- Hora de inicio de un día anterior a la hora actual.
- CN (y SubjectAltName) establecidos con el nombre de host (o dirección IP) que el host ESXi tiene en el inventario de vCenter Server.
- Certificados con comodines.
- No se admiten los algoritmos md2WithRSAEncryption, md5WithRSAEncryption, RSASSA-PSS, dsaWithSHA1, ecdsa_with_SHA1 y sha1WithRSAEncryption.
Para generar la CSR mediante vSphere Client, consulte Generar una solicitud de firma del certificado para un certificado personalizado mediante vSphere Client.
Para obtener información sobre cómo generar la CSR mediante la CLI, consulte el artículo de la base de conocimientos de VMware en https://kb.vmware.com/s/article/2113926.