Reemplazar el certificado de ESXi predeterminado por un certificado personalizado

La directiva de seguridad de su empresa puede requerir que reemplace el certificado SSL predeterminado de ESXi por un certificado firmado por una entidad de certificación (CA) externa en todos los hosts.

De forma predeterminada, los componentes de vSphere utilizan el certificado firmado por VMCA y la clave que se crean durante la instalación. Si elimina el certificado firmado por VMCA de forma accidental, quite el host de su sistema vCenter Server y vuelva a agregarlo. Al agregar el host, vCenter Server solicita un certificado nuevo de VMCA y aprovisiona el host con este certificado.

Puede reemplazar los certificados firmados por VMCA por certificados de una entidad de certificación de confianza, ya sea una CA comercial o una CA organizativa, si la directiva de su empresa lo requiere.

Puede reemplazar los certificados predeterminados por certificados personalizados mediante vSphere Client o la CLI.

Nota: También puede utilizar los objetos administrados vim.CertificateManager y vim.host.CertificateManager en vSphere Web Services SDK. Consulte la documentación de vSphere Web Services SDK.

Antes de reemplazar el certificado, debe actualizar el almacén TRUSTED_ROOTS de VECS en el sistema vCenter Server que administra el host, para que vCenter Server y el host ESXi tengan una relación de confianza.

Nota: Si va a reemplazar certificados SSL en un host ESXi que forma parte de un clúster de vSAN, siga los pasos que se indican en el artículo de la base de conocimientos de VMware en https://kb.vmware.com/s/article/56441.

Requisitos para las solicitudes de firma del certificado de ESXi para certificados personalizados

Utilice una CSR con estas características:

Tamaño de clave: de 2048 bits (mínimo) a 8192 bits (máximo) (formato codificado PEM)
Formato PEM. VMware admite PKCS8 y PKCS1 (claves RSA). Cuando se agregan claves a VECS, se convierten en PKCS8.
x509 versión 3
Para los certificados raíz, la extensión CA se debe establecer en true y el signo cert debe estar en la lista de requisitos.
SubjectAltName debe contener DNS Name=<machine_FQDN>.
Formato CRT
Contiene los siguientes usos de claves: firma digital, cifrado de clave
Hora de inicio de un día anterior a la hora actual.
CN (y SubjectAltName) establecidos con el nombre de host (o dirección IP) que el host ESXi tiene en el inventario de vCenter Server.

Nota: El certificado FIPS de vSphere solo valida los tamaños 2048 y 3072 de clave RSA. Consulte Consideraciones al utilizar FIPS.

vSphere no admite los siguientes certificados.

Certificados con comodines.
No se admiten los algoritmos md2WithRSAEncryption, md5WithRSAEncryption, RSASSA-PSS, dsaWithSHA1, ecdsa_with_SHA1 y sha1WithRSAEncryption.

Para generar la CSR mediante vSphere Client, consulte Generar una solicitud de firma del certificado para un certificado personalizado mediante vSphere Client.

Para obtener información sobre cómo generar la CSR mediante la CLI, consulte el artículo de la base de conocimientos de VMware en https://kb.vmware.com/s/article/2113926.