La directiva de seguridad de su empresa puede requerir que reemplace el certificado SSL predeterminado de ESXi por un certificado firmado por una CA externa en cada host.

De forma predeterminada, los componentes de vSphere utilizan el certificado firmado por VMCA y la clave que se crean durante la instalación. Si elimina el certificado firmado por VMCA de forma accidental, quite el host de su sistema vCenter Server y vuelva a agregarlo. Al agregar el host, vCenter Server solicita un certificado nuevo de VMCA y aprovisiona el host con este certificado.

Reemplace los certificados firmados por VMCA por certificados de una CA de confianza, ya sea una CA comercial o una CA organizativa, si la directiva de su empresa lo requiere.

Puede reemplazar los certificados predeterminados por certificados de confianza de varias maneras.

Nota: También puede utilizar los objetos administrados vim.CertificateManager y vim.host.CertificateManager en vSphere Web Services SDK. Consulte la documentación de vSphere Web Services SDK.

Después de reemplazar el certificado, debe actualizar el almacén TRUSTED_ROOTS de VECS en el sistema vCenter Server que administra el host, para que vCenter Server y el host ESXi tengan una relación de confianza.

Para obtener instrucciones detalladas sobre el uso de certificados firmados por CA para los hosts ESXi, consulte Flujos de trabajo de cambio de modo de certificado de ESXi.

Nota: Si va a reemplazar certificados SSL en un host ESXi que forma parte de un clúster de vSAN, siga los pasos que se indican en el artículo de la base de conocimientos de VMware en https://kb.vmware.com/s/article/56441.

Requisitos de las solicitudes de firma de certificados de ESXi

Si desea utilizar un certificado de empresa o un certificado firmado por entidades de certificación externas o un certificado firmado por entidades de certificación subordinadas, debe enviar una solicitud de firma del certificado (CSR) a la entidad de certificación.

Utilice una CSR con estas características:

  • Tamaño de clave: de 2.048 bits (mínimo) a 16.384 bits (máximo) (formato codificado PEM)
  • Formato PEM. VMware admite PKCS8 y PKCS1 (claves RSA). Cuando se agregan claves a VECS, se convierten en PKCS8.
  • x509 versión 3
  • Para los certificados raíz, la extensión CA se debe establecer en true y el signo cert debe estar en la lista de requisitos.
  • SubjectAltName debe contener DNS Name=<machine_FQDN>.
  • Formato CRT
  • Contiene los siguientes usos de claves: firma digital, cifrado de clave
  • Hora de inicio de un día anterior a la hora actual.
  • CN (y SubjectAltName) establecidos con el nombre de host (o dirección IP) que el host ESXi tiene en el inventario de vCenter Server.
Nota: El certificado FIPS de vSphere solo valida los tamaños 2048 y 3072 de clave RSA. Consulte Consideraciones al utilizar FIPS.
vSphere no admite los siguientes certificados.
  • Certificados con comodines.
  • No se admiten los algoritmos md2WithRSAEncryption, md5WithRSAEncryption, RSASSA-PSS, dsaWithSHA1, ecdsa_with_SHA1 y sha1WithRSAEncryption.

Para obtener información sobre cómo generar el servicio CSR, consulte el artículo de la base de conocimientos de VMware en https://kb.vmware.com/s/article/2113926.

Reemplazar el certificado y de la clave predeterminados de ESXi Shell

Puede reemplazar los certificados firmados por VMCA predeterminados de ESXi en ESXi Shell.

Requisitos previos

  • Si desea usar certificados firmados por una entidad de certificación (CA) externa, genere la solicitud de certificación, envíela a la entidad de certificación y almacene los certificados en cada host ESXi.
  • De ser necesario, habilite ESXi Shell o el tráfico SSH desde vSphere Client.
  • Todas las transferencias de archivos y demás comunicaciones se realizan en una sesión de HTTPS segura. El usuario que se usa para autenticar la sesión debe tener el privilegio Host.Configuración.Configuración avanzada en el host.

Procedimiento

  1. Inicie sesión en ESXi Shell, ya sea directamente desde la DCUI o desde un cliente de SSH, como un usuario con privilegios de administrador.
  2. En el directorio /etc/vmware/ssl, cambie el nombre de los certificados existentes con los siguientes comandos.
    mv rui.crt orig.rui.crt
    mv rui.key orig.rui.key
  3. Copie los certificados que desea utilizar en /etc/vmware/ssl.
  4. Cambie el nombre del certificado nuevo y de la clave por rui.crt y rui.key.
  5. Después de instalar el certificado nuevo, reinicie el host.
    Como alternativa, puede colocar el host en modo de mantenimiento, instalar el certificado nuevo, utilizar la interfaz de usuario de la consola directa (DCUI) para reiniciar los agentes de administración y, a continuación, establecer el host para que salga del modo de mantenimiento.

Qué hacer a continuación

Actualice el almacén vCenter Server TRUSTED_ROOTS. Consulte Actualizar el almacén TRUSTED_ROOTS de vCenter Server (certificados personalizados).

Reemplazar un certificado predeterminado mediante el método PUT de HTTPS

Puede usar aplicaciones de terceros para cargar certificados y claves. Las aplicaciones que admiten las operaciones del método PUT de HTTPS funcionan con la interfaz de HTTPS incluida en ESXi.

Requisitos previos

  • Si desea usar certificados firmados por una entidad de certificación (CA) externa, genere la solicitud de certificación, envíela a la entidad de certificación y almacene los certificados en cada host ESXi.
  • De ser necesario, habilite ESXi Shell o el tráfico SSH desde vSphere Client.
  • Todas las transferencias de archivos y demás comunicaciones se realizan en una sesión de HTTPS segura. El usuario que se usa para autenticar la sesión debe tener el privilegio Host.Configuración.Configuración avanzada en el host.

Procedimiento

  1. Realice una copia de seguridad de los certificados actuales.
  2. Configure la autenticación de acceso básica, en la que proporciona un nombre de usuario y una contraseña codificados en Base64, separados por dos puntos (:). Para obtener más información, consulte https://en.wikipedia.org/wiki/Basic_access_authentication.
  3. En la aplicación de carga, procese cada archivo de la siguiente manera:
    1. Abra el archivo.
    2. Publique el archivo en una de estas ubicaciones.
      Opción Descripción
      Certificados https://hostname/host/ssl_cert
      Claves https://hostname/host/ssl_key
    Las ubicaciones /host/ssl_cert y host/ssl_key conducen a los archivos de certificado en /etc/vmware/ssl.
  4. Reinicie el host.
    Como alternativa, puede colocar el host en modo de mantenimiento, instalar el certificado nuevo, utilizar la interfaz de usuario de la consola directa (DCUI) para reiniciar los agentes de administración y, a continuación, establecer el host para que salga del modo de mantenimiento.

Qué hacer a continuación

Actualice el almacén vCenter Server TRUSTED_ROOTS. Consulte Actualizar el almacén TRUSTED_ROOTS de vCenter Server (certificados personalizados).

Actualizar el almacén TRUSTED_ROOTS de vCenter Server (certificados personalizados)

Si configura los hosts ESXi para usar certificados personalizados, debe actualizar el almacén TRUSTED_ROOTS en el sistema vCenter Server que administra los hosts.

Requisitos previos

Reemplace los certificados de cada host por los certificados personalizados.

Nota: Este paso no es necesario si el sistema vCenter Server también se ejecuta con certificados personalizados emitidos por la misma entidad de certificación que los instalados en los hosts ESXi.

Procedimiento

  1. Para actualizar el almacén TRUSTED_ROOTS de vCenter Server mediante vSphere Client, consulte Agregar un certificado raíz de confianza al almacén de certificados mediante vSphere Client.
  2. Para actualizar el almacén TRUSTED_ROOTS de vCenter Server mediante la interfaz de línea de comandos, inicie sesión en el shell de vCenter Server del sistema de vCenter Server que administra los hosts ESXi.
  3. Para agregar los nuevos certificados al almacén TRUSTED_ROOTS, ejecute dir-cli, por ejemplo:
    /usr/lib/vmware-vmafd/bin/dir-cli trustedcert publish --cert path_to_RootCA
  4. Cuando se le solicite, proporcione las credenciales de administrador de Single Sign-On.
  5. Si los certificados personalizados son emitidos por una entidad de certificación intermedia, también debe agregar esta entidad al almacén TRUSTED_ROOTS en vCenter Server, por ejemplo:
    /usr/lib/vmware-vmafd/bin/dir-cli trustedcert publish --cert path_to_intermediateCA

Qué hacer a continuación

Establezca el modo de certificación en Personalizado. Si el modo de certificación es VMCA (el modo predeterminado) y ejecuta una actualización de certificados, los certificados firmados por VMCA reemplazan los certificados personalizados. Consulte Cambiar el modo de certificado de ESXi.