Renovar o actualizar de certificados de ESXi

Si utiliza VMware Certificate Authority (VMCA) para asignar certificados a los hosts, puede renovarlos desde vSphere Client. Si utiliza certificados de VMCA o certificados personalizados, puede actualizar todos los certificados del almacén de TRUSTED_ROOTS asociado con vCenter Server.

Puede utilizar vSphere Client para renovar los certificados de VMCA cuando estos estén a punto de caducar o si desea aprovisionar el host con un certificado nuevo por otros motivos. Si no renueva el certificado de VMCA antes de que caduque, desconectar el host y volver a conectarlo hace que vCenter Server renueve el certificado. La acción de volver a agregar el host a vCenter Server restablece la confianza y permite que vCenter Server emita el certificado renovado sin condiciones.

De forma predeterminada, vCenter Server renueva el certificado de VMCA de un host que tenga el estado Caducó, Caducidad inminente o Por caducar en breve cada vez que el host se agregue al inventario o se vuelva a conectar.

No se puede renovar un certificado de ESXi cuya fecha de caducidad sea posterior a la fecha de caducidad del certificado raíz de confianza. Por ejemplo, aunque la opción avanzada vpxd.certmgmt.certs.daysValid de ESXi esté establecida en cinco años y el certificado raíz de confianza caduque dentro de dos años, la fecha de caducidad del certificado de ESXi se limita a dos años.

Puede utilizar vSphere Client para insertar todos los certificados que se encuentran actualmente en el almacén de TRUSTED_ROOTS del almacén VECS de vCenter Server en el host ESXi. Utilice esta capacidad si necesita actualizar las raíces de confianza en un host ESXi. Esta capacidad existe para los certificados personalizados y de VMCA.

Requisitos previos

Compruebe lo siguiente:

Si utiliza certificados de VMCA, el modo de certificación se establece en vmca.
Si utiliza certificados personalizados, el modo de certificación se establece en personalizado.
Los hosts ESXi están conectados al sistema vCenter Server.
La sincronización de hora que se produce entre el sistema vCenter Server y los hosts ESXi es la adecuada.
La resolución de DNS funciona entre el sistema vCenter Server y los hosts ESXi.
Los certificados Trusted_Root y MACHINE_SSL_CERT del sistema vCenter Server son válidos y no han caducado. Consulte el artículo de la base de conocimientos de VMware en https://kb.vmware.com/s/article/2111411.
Los hosts ESXi no están en modo de mantenimiento.

Nota: Si utiliza certificados personalizados y necesita renovarlos, vuelva a importar los certificados.

Procedimiento

Desplácese hasta el host en el inventario de vSphere Client.
Haga clic en Configurar.
En Sistema, haga clic en Certificado.
Puede ver los detalles del certificado del host seleccionado.

Seleccione la opción adecuada en función del tipo de certificado utilizado.

Opción	Descripción
Administrar con VMCA > Renovar	Recupera un certificado recién firmado desde VMCA para el host.
Administrar con VMCA > Actualizar certificados de CA o Administrar con CA externa > Actualizar certificados de CA	Envía todos los certificados del almacén TRUSTED_ROOTS del almacén vCenter Server VECS al host.

Opción

Descripción

Administrar con VMCA > Renovar

Recupera un certificado recién firmado desde VMCA para el host.

Administrar con VMCA > Actualizar certificados de CA

Administrar con CA externa > Actualizar certificados de CA

Envía todos los certificados del almacén TRUSTED_ROOTS del almacén vCenter Server VECS al host.