Si utiliza VMware Certificate Authority (VMCA) para asignar certificados a los hosts, puede renovarlos desde vSphere Client. Si utiliza certificados de VMCA o certificados personalizados, puede actualizar todos los certificados del almacén de TRUSTED_ROOTS asociado con vCenter Server.
Puede utilizar vSphere Client para renovar los certificados de VMCA cuando estos estén a punto de caducar o si desea aprovisionar el host con un certificado nuevo por otros motivos. Si no renueva el certificado de VMCA antes de que caduque, desconectar el host y volver a conectarlo hace que vCenter Server renueve el certificado. La acción de volver a agregar el host a vCenter Server restablece la confianza y permite que vCenter Server emita el certificado renovado sin condiciones.
De forma predeterminada, vCenter Server renueva el certificado de VMCA de un host que tenga el estado Caducó, Caducidad inminente o Por caducar en breve cada vez que el host se agregue al inventario o se vuelva a conectar.
No se puede renovar un certificado de ESXi cuya fecha de caducidad sea posterior a la fecha de caducidad del certificado raíz de confianza. Por ejemplo, aunque la opción avanzada vpxd.certmgmt.certs.daysValid de ESXi esté establecida en cinco años y el certificado raíz de confianza caduque dentro de dos años, la fecha de caducidad del certificado de ESXi se limita a dos años.
Puede utilizar vSphere Client para insertar todos los certificados que se encuentran actualmente en el almacén de TRUSTED_ROOTS del almacén VECS de vCenter Server en el host ESXi. Utilice esta capacidad si necesita actualizar las raíces de confianza en un host ESXi. Esta capacidad existe para los certificados personalizados y de VMCA.
Requisitos previos
- Si utiliza certificados de VMCA, el modo de certificación se establece en vmca.
- Si utiliza certificados personalizados, el modo de certificación se establece en personalizado.
- Los hosts ESXi están conectados al sistema vCenter Server.
- La sincronización de hora que se produce entre el sistema vCenter Server y los hosts ESXi es la adecuada.
- La resolución de DNS funciona entre el sistema vCenter Server y los hosts ESXi.
- Los certificados Trusted_Root y MACHINE_SSL_CERT del sistema vCenter Server son válidos y no han caducado. Consulte el artículo de la base de conocimientos de VMware en https://kb.vmware.com/s/article/2111411.
- Los hosts ESXi no están en modo de mantenimiento.