Poiché non è possibile sostituire i certificati degli host ESXi in SDDC Manager, questa operazione viene eseguita manualmente su ogni host ESXi o in modo automatico attraverso un dominio del carico di lavoro utilizzando i comandi di Windows PowerShell.

SDDC Manager non gestisce i certificati per gli host ESXi. Al contrario, VMware Certificate Authority (VMCA) su vCenter Server fornisce a ogni nuovo host ESXi un certificato firmato in cui VMCA è l'autorità di certificazione principale per impostazione predefinita. Per essere conforme al criterio dell'organizzazione, è necessario sostituire manualmente il certificato dell'host.

È possibile sostituire i certificati host passo dopo passo utilizzando l'interfaccia utente del prodotto o in modo automatizzato, come alternativa basata sul codice a determinate procedure basate sull'interfaccia utente, richiamando i cmdlet in Modulo VMware.CloudFoundation.CertificateManagement in PowerShell Gallery.

Per leggere la documentazione, fornire un feedback, segnalare un problema di automazione o contribuire al modulo VMware.CloudFoundation.CertificateManagement, visitare il sito Progetto open source VMware.CloudFoundation.CertificateManagement in GitHub.

Ambito del contenuto

Le linee guida per la gestione dei certificati ESXi in questa sezione illustrano gli scenari seguenti:

  • Sostituzione di un certificato host ESXi firmato da VMCA con un certificato firmato da un'autorità di certificazione esterna in un dominio del carico di lavoro SDDC già distribuito.

  • Sostituzione di un certificato host ESXi firmato da un'autorità di certificazione esterna con un altro certificato firmato da un'autorità di certificazione esterna in un dominio di lavoro dell'SDDC già distribuito.

Prerequisiti

Per eseguire la configurazione associata alla gestione dei certificati ESXi verificare che il sistema soddisfi i seguenti prerequisiti.

Categoria

Prerequisito

Ambiente

Verificare che l'istanza di VMware Cloud Foundation sia integra e pienamente operativa.
Infrastruttura come codice

Per utilizzare il metodo infrastruttura-come-codice per la gestione dei certificati host ESXi, verificare che il sistema soddisfi i prerequisiti, descritti nella documentazione di Progetto open source VMware.CloudFoundation.CertificateManagement in GitHub.

Impostazione della modalità del certificato su Personalizzato per gli host ESXi in un dominio del carico di lavoro

È possibile modificare la modalità del certificato per gli host di un dominio del carico di lavoro in VMware Cloud Foundation impostandola su custom in modo che VMCA non esegua più il provisioning automatico dei certificati VMCA negli host ESXi.

Prerequisiti

  • Il vCenter Server del dominio del carico di lavoro deve trovarsi in una finestra di manutenzione pianificata. Per completare il processo, è necessario riavviare il servizio vCenter Server.

Procedura dell'interfaccia utente

  1. Accedere al vCenter Server del dominio del carico di lavoro che gestisce gli host di destinazione in https://<vcenter-server_fqdn>/ui come [email protected].

  2. Modificare la modalità del certificato per gli host ESXi gestiti.

    • Nell'inventario Host e cluster, selezionare l'istanza di vCenter Server.

    • Nella scheda Configura in Impostazioni, fare clic su Impostazioni avanzate e fare clic su Modifica impostazioni.

    • Nella casella di testo del filtro Nome, immettere vpxd.certmgmt.mode.

    • Modificare il valore di vpxd.certmgmt.mode impostandolo su custom e fare clic su Salva.

  3. Riavviare l'istanza di vCenter Server per applicare le modifiche.

    1. Dal menu di vSphere Client, selezionare Amministrazione.

    2. Nella sezione Distribuzione, selezionare Configurazione sistema.

    3. Selezionare l'istanza di vCenter Server nell'elenco e fare clic su Riavvia nodo.

    4. Immettere Change ESXi certificate mode to custom CA mode. come motivo del riavvio e fare clic su Riavvia.

  4. Verificare che l'istanza di vCenter Server sia stata riavviata correttamente e che sia possibile accedere a vSphere Client.

  5. Accettare l'allarme vSphere vCenter Host Certificate Management Mode.
  6. In vSphere Client, verificare che per il dominio del carico di lavoro di vCenter Server il valore della proprietà vpxd.certmgmt.mode sia custom.

Procedura PowerShell

  1. Avviare Windows PowerShell.

  2. Sostituire i valori nel codice di esempio ed eseguire i comandi nella console di PowerShell.

    $sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io" 
    $sddcManagerUser = "[email protected]" 
    $sddcManagerPass = "VMw@re1!"
    $workloadDomain = "sfo-m01"
    $mode = "custom"
  3. Impostare la modalità del certificato ESXi su custom eseguendo il comando seguente nella console PowerShell.

    Set-EsxiCertificateMode -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $workloadDomain -mode $mode
  4. Riavviare manualmente l'istanza di vCenter Server per applicare le modifiche come descritto nella procedura assistita dall'interfaccia utente.

  5. Verificare che la modalità del certificato ESXi sia stata impostata su custom immettendo il comando seguente.

    Get-EsxiCertificateMode -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $workloadDomain

Generazione di una richiesta di firma del certificato per gli host ESXi in un dominio del carico di lavoro

Utilizzando l'istanza di ESXi Shell, generare file CSR (Certificate Signing Request) per ogni host ESXi nel dominio del carico di lavoro. È possibile inviare i file CSR a un'autorità di certificazione di terze parti e ricevere certificati firmati dall'autorità di certificazione per gli host.

La catena di certificati dell'autorità di certificazione di terze parti deve essere presente nell'archivio di attendibilità di SDDC Manager e nel dominio del carico di lavoro di vCenter Server.

Procedura dell'interfaccia utente

  1. Accedere a ESXi Shell utilizzando DCUI oppure da un client SSH in qualità di utente con privilegi di amministratore.

  2. Nella directory /etc/vmware/ssl, creare un file eseguendo il comando seguente.

    vi ESXi.cfg
  3. Inserire i seguenti contenuti nel file ESXi.cfg

    [ req ]
    days = certificate-expiration-period (730)
    default_md = sha512
    default_bits = 2048
    distinguished_name = req_distinguished_name
    prompt = no
    [ req_distinguished_name ]
    commonName = esxi-fqdn
    countryName = your-country
    stateOrProvinceName = your-state
    localityName = your-locality
    0.organizationName = your-organization
    organizationalUnitName = your-unit
  4. Eseguire il comando seguente per generare una chiave privata e un file CSR, sostituendo i valori nel comando di esempio.

    openssl req -new -nodes -out esxi-fqdn.csr -keyout esxi-fqdn.key -config ESXi.cfg
  5. Esportare il file esxi-hostname.csr e, facoltativamente esxi-hostname.key dall'host ESXi, ad esempio utilizzando un'utilità SCP, come WinSCP.

  6. Ripetere i passaggi per gli host ESXi rimanenti nel dominio del carico di lavoro.

Procedura PowerShell

  1. Avviare Windows PowerShell.

  2. Sostituire i valori nel codice di esempio ed eseguire i comandi nella console di PowerShell.

    $sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io" 
    $sddcManagerUser = "[email protected]" 
    $sddcManagerPass = "VMw@re1!"
    $workloadDomain = "sfo-m01"
    $cluster = "sfo-m01-cl01"
    $country = "US"
    $locality = "San Francisco"
    $organization = "Rainpole"
    $organizationUnit = "IT"
    $stateOrProvince = "California"
    $outputDirectory = "F:\CSR\"
  3. Eseguire la configurazione immettendo il seguente comando nella console di PowerShell.

    Request-VCFCsr -esxi -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $workloadDomain -cluster $cluster -Country $country -Locality $locality -Organization $organization -OrganizationUnit $organizationUnit -StateOrProvince $stateOrProvince -outputDirectory $outputDirectory
  4. Ripetere i passaggi per ogni cluster nel dominio del carico di lavoro.

Passaggi successivi

Inviare i file CSR all'autorità di certificazione terza per ricevere i certificati host firmati dalla stessa.

Verificare che l'autorità di certificazione sia attendibile per vCenter Server e SDDC Manager

Per una comunicazione attendibile, l'autorità di certificazione che ha firmato i certificati degli host ESXi deve essere presente nell'archivio attendibilità sia del vCenter Server che dell'SDDC Manager del dominio del carico di lavoro.

Procedura dell'interfaccia utente

  1. Verificare che il certificato dell'autorità di certificazione si trova nell'archivio di attendibilità di SDDC Manager.

    1. Accedere a SDDC Manager all'indirizzo https://<sddc_manager_fqdn> con un utente a cui è assegnato il ruolo Amministratore.
    2. Nel riquadro di navigazione, fare clic su Inventario > Domini carico di lavoro.
    3. Nella pagina Domini carico di lavoro, fare clic sul dominio del carico di lavoro di destinazione.

    4. Nella pagina di riepilogo del dominio del carico di lavoro, fare clic sulla scheda Certificati.

    5. Verificare che l'emittente del certificato per il tipo di risorsa vcenter sia uguale all'emittente dei certificati host firmati dall'autorità di certificazione.

  2. Verificare che il certificato dell'autorità di certificazione si trova nell'archivio di attendibilità del dominio del carico di lavoro di vCenter Server.

    1. Accedere al vCenter Server all'indirizzo https://<vcenter_server_fqdn>/ui come [email protected].
    2. Dal menu di vSphere Client, selezionare Amministrazione.

    3. In Certificati, selezionare Gestione certificati.

    4. Nell'angolo in alto a destra, selezionare l'istanza di vCenter Server dal menu a discesa.
    5. Verificare che l'archivio Certificati root attendibili contenga il certificato dell'autorità di certificazione con lo stesso nome dell'emittente dei certificati host.

    6. Verificare che l'oggetto e il numero di serie siano gli stessi della parte relativa all'emittente dei certificati host firmati.

Procedura PowerShell

  1. Avviare Windows PowerShell.

  2. Sostituire i valori nel codice di esempio ed eseguire i comandi nella console di PowerShell.

    $sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io"
    $sddcManagerUser = "[email protected]"
    $sddcManagerPass = "VMw@re1!"
    $workloadDomain = "sfo-m01"
    $rootCertificate = "F:\Certificate\rainpoleRoot64.cer"
    $issuer = "rainpole"
  3. Verificare se il certificato dell'autorità di certificazione è attendibile eseguendo il seguente comando.

    Confirm-CAInvCenterServer -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $workloadDomain -issuer $issuer -signedCertificate $rootCertificate
  4. Verificare che l'output del comando restituisca true.

Sostituzione dei certificati degli host ESXi con certificati firmati dall'autorità di certificazione in un dominio del carico di lavoro

Sostituire ogni certificato dell'host ESXi con un certificato firmato dall'autorità di certificazione che soddisfi i requisiti di sicurezza dell'organizzazione.

Nota:

Eseguire la sostituzione dei certificati degli host nel dominio del carico di lavoro in una finestra di manutenzione pianificata. Questa operazione richiede più tempo di quello normalmente allocato in una modalità operativa regolare.

Procedure dell'interfaccia utente

  1. Accedere al vCenter Server del dominio del carico di lavoro che gestisce gli host di destinazione in https://<vcenter-server_fqdn>/ui come [email protected].

  2. Se si utilizza vSAN come storage principale, verificare l'integrità di vSAN.

    1. Nell'inventario Host e cluster, selezionare il cluster che contiene gli host ESXi e fare clic sulla scheda Monitora.

    2. Nel riquadro a sinistra, in vSAN > Skyline Health, fare clic su Ripeti test e confermare l'operazione.

    3. Verificare che nel riquadro Panoramica non vengano visualizzati avvisi rossi.

    4. Nel riquadro a sinistra, in vSAN > Risincronizzazione degli oggetti, verificare che tutte le attività di sincronizzazione siano state completate.

  3. Attivare la modalità di manutenzione per l'host ESXi.

    1. Nell'inventario Host e cluster, espandere il vCenter Server del dominio del carico di lavoro e passare al primo host ESXi nel primo cluster.

    2. Fare clic con il pulsante destro del mouse sull'host ESXi e selezionare Modalità di manutenzione > Passa alla modalità di manutenzione.

    3. Nella finestra di dialogo Passa alla modalità di manutenzione, nel menu a discesa Migrazione dei dati vSAN selezionare Migrazione dei dati completa e fare clic su OK.

  4. Disattivare la modalità di blocco di ESXi.

    1. Fare clic sulla scheda Configura per l'host ESXi.

    2. In Sistema, selezionare Profilo di sicurezza.

    3. Nel riquadro Modalità blocco, fare clic su Modifica.

    4. Nella finestra di dialogo Modalità blocco nella pagina Modalità blocco, selezionare Disabilitata.

    5. Fare clic su OK.

  5. Disconnettere l'host ESXi da vCenter Server.

    1. Nell'inventario Host e cluster, fare clic con il pulsante destro del mouse sull'host ESXi e selezionare Connessione > Disconnetti.

    2. Nella finestra di dialogo di conferma, fare clic su OK.

  6. Eseguire il backup del certificato dell'host ESXi corrente.

    1. Accedere a ESXi Shell utilizzando DCUI oppure un client SSH come un utente con privilegi di amministratore.

    2. Nella directory /etc/vmware/ssl, rinominare i certificati esistenti eseguendo i comandi seguenti.

      cp rui.crt esxi-hostname-orig.rui.crt
      cp rui.key esxi-hostname-orig.rui.key
    3. Esportare i file esxi-hostname-orig.rui.crt e esxi-hostname-orig.rui.key dall'host ESXi, ad esempio utilizzando un'utilità SCP, come WinSCP.

  7. Sostituire il certificato dell'host ESXi.

    1. Copiare i file di certificato esxi-hostname.cer e esxi-hostname.key ricevuti dall'autorità di certificazione, nella directory /etc/vmware/ssl negli host, ad esempio utilizzando un'utilità SCP, come WinSCP.

    2. In ESXi Shell, nella cartella /etc/vmware/ssl, rinominare esxi-hostname.cer e esxi-hostname.key rispettivamente con rui.crt e rui.key eseguendo i seguenti comandi.

      Confermare eventuali sostituzioni dei file.

      mv /etc/vmware/ssl/esxi-hostname.cer rui.crt
      mv /etc/vmware/ssl/esxi-hostname.key rui.key
    3. Riavviare l'host ESXi eseguendo il seguente comando.

      reboot
  8. In vSphere Client, nell'inventario Host e cluster, fare clic con il pulsante destro del mouse sull'host ESXi e selezionare Connessione > Connetti.

  9. Verificare che il certificato dell'host ESXi sia stato sostituito correttamente dopo il riavvio.

    1. Fare clic sulla scheda Configura per l'host ESXi.

    2. In Sistema, selezionare Certificato.

    3. Verificare che l'emittente e le date di validità del certificato corrispondano al certificato firmato dall'autorità di certificazione.

    4. Verificare che lo Stato sia Good.

  10. Se si utilizza vSAN come storage principale, verificare l'integrità di vSAN.

  11. Verificare la connettività dell'host ESXi a SDDC Manager.

    1. Accedere a SDDC Manager all'indirizzo https://<sddc_manager_fqdn> con un utente a cui è assegnato il ruolo Amministratore.
    2. Nel riquadro di navigazione selezionare Inventario > Host.

    3. Verificare che Stato configurazione dell'host sia Active.

  12. Verificare la connettività dell'host ESXi all'istanza di NSX Manager per il dominio del carico di lavoro.

    1. Nell'interfaccia utente di NSX Manager in https://<nsx_manager_fqdn>, fare clic sulla scheda Sistema.

    2. Nel riquadro di navigazione, selezionare Infrastruttura > Host.

    3. Nella scheda Cluster verificare che Configurazione NSX sia Success e che Stato nodo sia Up per l'host ESXi.

  13. In vSphere Client, riattivare la modalità di blocco dell'host ESXi.

  14. Disattivare la modalità di manutenzione per l'host ESXi.

    1. In vSphere Client, espandere il vCenter Server del dominio del carico di lavoro e passare all'host ESXi.

    2. Fare clic con il pulsante destro del mouse sull'host ESXi e selezionare Modalità di manutenzione > Esci dalla modalità di manutenzione.

  15. Ripetere la procedura per gli host ESXi rimanenti nel cluster.

  16. Ripetere la procedura per gli host nei cluster rimanenti nel dominio del carico di lavoro.

Procedura PowerShell

  1. Avviare Windows PowerShell.

  2. Sostituire i valori nel codice di esempio ed eseguire i comandi nella console di PowerShell.

    $sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io" 
    $sddcManagerUser = "[email protected]" 
    $sddcManagerPass = "VMw@re1!"
    $workloadDomain = "sfo-m01"
    $cluster = "sfo-m01-cl01" 
    $certificateDirectory = "F:\Certificate"
    $certificateFileExt = ".cer"
  3. Se si utilizza vSAN come storage principale, per verificare lo stato di integrità di vSAN eseguire il comando seguente e verificare che l'output non contenga avvisi rossi.

    Get-vSANHealthSummary -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $workloadDomain -cluster $cluster 
  4. Eseguire il backup dei certificati correnti degli host nel cluster utilizzando ESXi Shell.

    Attenzione:

    Il comando Install-VCFCertificate eseguito per sostituire i certificati dell'host non esegue il backup del certificato di ESXi e della chiave privata originali.

  5. Sostituire il certificato dell'host ESXi eseguendo il comando seguente.

    Install-VCFCertificate -esxi -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $workloadDomain -cluster $cluster -certificateDirectory $certificateDirectory  -certificateFileExt $certificateFileExt

    L'output del comando indica sostituzione del certificato completata correttamente.

  6. Se si utilizza vSAN come storage principale, verificare nuovamente lo stato di integrità di vSAN.

  7. Ripetere la procedura per i cluster rimanenti nel dominio del carico di lavoro.

Passaggi successivi

Poiché è impostata la modalità personalizzata del certificato ESXi, prima di aggiungere gli host ESXi al dominio del carico di lavoro, sostituire i loro certificati con certificati firmati da un'autorità di certificazione.

Ripristino del certificato di un host ESXi in un dominio del carico di lavoro da un backup

Se si verificano problemi durante ESXi sostituzione del certificato, è possibile ripristinare la configurazione del certificato originale di un host dal backup eseguito prima dell'operazione di sostituzione.

Procedura

  1. Accedere a vCenter Server del dominio del carico di lavoro che gestisce l'host di destinazione in https://<vcenter-server_fqdn>/ui come [email protected].

  2. Attivare la modalità di manutenzione per l'host ESXi.

    1. Nell'inventario Host e cluster, espandere il vCenter Server del dominio del carico di lavoro e passare al primo host ESXi nel primo cluster.

    2. Fare clic con il pulsante destro del mouse sull'host ESXi e selezionare Modalità di manutenzione > Attiva modalità di manutenzione.

    3. Per un cluster vSAN, nella finestra di dialogo Attiva modalità di manutenzione, dal menu a discesa Migrazione dati vSAN selezionare Migrazione completa dei dati, quindi fare clic su OK.

  3. Disattivare la modalità di blocco di ESXi.

    1. Fare clic sulla scheda Configura per l'host ESXi.

    2. In Sistema, selezionare Profilo di sicurezza.

    3. Nel riquadro Modalità blocco, fare clic su Modifica.

    4. Nella finestra di dialogo Modalità blocco nella pagina Modalità blocco, selezionare Disabilitata.

    5. Fare clic su OK.

  4. Disattivare ESXi modalità di blocco utilizzando il VMware Host Client.

    L'host ESXi potrebbe essere disconnesso dal dominio del carico di lavoro vCenter Server a causa di problemi di autenticazione causati dalla non riuscita sostituzione del certificato nell'host.

    1. Accedere all'host ESXi all'indirizzo https://<esxi_host_fqdn>/ui come root.

    2. Nel riquadro di navigazione, selezionare Gestisci > Sicurezza e utenti.

    3. Selezionare Modalità blocco e fare clic su Modifica impostazioni.

    4. Selezionare Disabilitata e fare clic su Modifica.

  5. Disconnettere l'host ESXi da vCenter Server.

    1. In vSphere Client, nell'inventario Host e cluster, fare clic con il pulsante destro del mouse sull'host ESXi e selezionare Connessione > Disconnetti.

    2. Nella finestra di dialogo di conferma, fare clic su OK.

  6. Ripristinare il certificato dell'host ESXi originale.

    1. Copiare i file dei certificati originali esxi-hostname-orig.rui.crt e esxi-hostname-orig.rui.key nella directory /etc/vmware/ssl sull'host, ad esempio utilizzando un'utility SCP, come WinSCP.

    2. Accedere a ESXi Shell utilizzando DCUI oppure da un client SSH in qualità di utente con privilegi di amministratore.

    3. Nella directory /etc/vmware/ssl, rinominare esxi-hostname-orig.rui.crt e esxi-hostname-orig.rui.key rispettivamente con rui.crt e rui.key eseguendo i comandi seguenti.

      mv /etc/vmware/ssl/esxi-hostname-orig.rui.crt rui.crt
      mv /etc/vmware/ssl/esxi-hostname-orig.rui.key rui.key
    4. Riavviare l'host ESXi eseguendo il seguente comando.

      reboot
  7. In vSphere Client, nell'inventario Host e cluster, fare clic con il pulsante destro del mouse sull'host ESXi e selezionare Connessione > Connetti.

  8. Verificare che il certificato dell'host ESXi sia stato sostituito correttamente dopo il riavvio.

    1. Fare clic sulla scheda Configura per l'host ESXi.

    2. In Sistema, selezionare Certificato.

    3. Verificare che l'emittente e le date di validità del certificato corrispondano al certificato firmato dall'autorità di certificazione.

    4. Verificare che lo Stato sia Good.

  9. Se si utilizza vSAN come storage principale, verificare l'integrità di vSAN.

    1. Nell'inventario Host e cluster, selezionare il cluster che contiene gli host ESXi e fare clic sulla scheda Monitora.

    2. Nel riquadro a sinistra, in vSAN > Skyline Health, fare clic su Ripeti test e confermare l'operazione.

    3. Verificare che nel riquadro Panoramica non vengano visualizzati avvisi rossi.

    4. Nel riquadro a sinistra, in vSAN > Risincronizzazione degli oggetti, verificare che tutte le attività di sincronizzazione siano state completate.

  10. Verificare la connettività dell'host ESXi a SDDC Manager.

    1. Accedere a SDDC Manager all'indirizzo https://<sddc_manager_fqdn> con un utente a cui è assegnato il ruolo Amministratore.
    2. Nel riquadro di navigazione selezionare Inventario > Host.

    3. Verificare che Stato configurazione dell'host sia Active.

  11. Verificare la connettività dell'host ESXi all'istanza di NSX Manager per il dominio del carico di lavoro.

    1. Nell'interfaccia utente di NSX Manager in https://<nsx_manager_fqdn>, fare clic sulla scheda Sistema.

    2. Nel riquadro di navigazione, selezionare Infrastruttura > Host.

    3. Nella scheda Cluster verificare che Configurazione NSX sia Success e che Stato nodo sia Up per l'host ESXi.

  12. Disattivare la modalità di manutenzione per l'host ESXi.

    1. In vSphere Client, espandere il vCenter Server del dominio del carico di lavoro e passare all'host ESXi.

    2. Fare clic con il tasto destro del mouse sull'host ESXi e selezionare Modalità di manutenzione > Esci dalla modalità di manutenzione.