È possibile utilizzare l'utilità vSphere Certificate Manager per sostituire tutti i certificati con certificati personalizzati. Prima di avviare il processo, è necessario inviare le richieste CSR all'autorità di certificazione. È possibile utilizzare Gestione certificati per le CSR.

Un'opzione consiste nel sostituire solo il certificato SSL della macchina e utilizzare i certificati utente della soluzione di cui VMCA esegue il provisioning. I certificati utente della soluzione vengono utilizzati solo per la comunicazione tra componenti vSphere.

Quando si utilizzano certificati personalizzati, sostituire i certificati firmati da VMCA con certificati personalizzati. È possibile utilizzare vSphere Client, l'utilità vSphere Certificate Manager o utilizzare le CLI per eseguire la sostituzione manuale dei certificati. I certificati vengono archiviati in VECS.

Per sostituire tutti i certificati con certificati personalizzati, è necessario eseguire l'utilità vSphere Certificate Manager più volte. I passaggi generali per sostituire sia i certificati SSL delle macchine sia i certificati degli utenti della soluzione includono:

  1. Avviare l'utilità vSphere Certificate Manager.
  2. Generare richieste di firma del certificato per il certificato SSL della macchina e i certificati utente della soluzione separatamente in ogni macchina.
    1. Per generare CSR per il certificato SSL della macchina, selezionare l'opzione 1, Sostituzione del certificato SSL della macchina con il certificato personalizzato. Quando viene nuovamente richiesta un'opzione, selezionare l'opzione 1, Generazione di richieste di firma del certificato e chiavi per il certificato SSL della macchina.
    2. Se i criteri aziendali non consentono una distribuzione ibrida, selezionare l'opzione 5, Sostituzione dei certificati utente della soluzione con un certificato personalizzato.
  3. Inviare il CSR all'autorità di certificazione esterna o aziendale. Si riceve un certificato firmato e un certificato root dalla CA.
  4. Dopo aver ricevuto i certificati firmati e il certificato root dall'autorità di certificazione, sostituire il certificato SSL della macchina in ogni macchina utilizzando l'opzione 1, Sostituzione del certificato SSL della macchina con il certificato personalizzato.
  5. Se si desidera anche sostituire i certificati utente della soluzione, selezionare l'opzione 5, Sostituzione dei certificati utente della soluzione con il certificato personalizzato.
  6. Infine, quando più istanze di vCenter Server sono connesse con una configurazione Modalità collegata avanzata, ripetere il processo in ogni nodo.

Generazione di richieste di firma del certificato tramite Certificate Manager (certificati personalizzati)

È possibile utilizzare l'utilità vSphere Certificate Manager per generare richieste di firma del certificato (CSR) da utilizzare con la CA aziendale o inviare a un'autorità di certificazione esterna. È possibile utilizzare i certificati con i diversi processi di sostituzione dei certificati supportati.

Prerequisiti

vSphere Certificate Manager richiede diverse informazioni, Le richieste dipendono dall'ambiente e dal tipo di certificato che si desidera sostituire.

  • Per la generazione di qualsiasi CSR, viene richiesta la password dell'utente [email protected] o dell'amministratore del dominio vCenter Single Sign-On a cui ci si sta connettendo.
  • Viene richiesto il nome host o l'indirizzo IP di vCenter Server.
  • Per generare una richiesta CSR relativa a un certificato SSL della macchina, vengono richieste le proprietà del certificato, che saranno archiviate nel file certool.cfg. Per la maggior parte dei campi, è possibile accettare i valori predefiniti o fornire valori specifici del sito. L'FQDN della macchina è obbligatorio.
    Nota: In vSphere 8.0 e versioni successive, se si utilizza vSphere Certificate Manager per generare la richiesta CSR, le dimensioni della chiave vengono modificate da 2048 a 3072 bit. In vSphere 8.0 Update 1 e versioni successive, utilizzare vSphere Client per generare una richiesta CSR con dimensioni della chiave pari a 2048 bit.
    Nota: Il certificato FIPS di vSphere convalida solo dimensioni della chiave RSA di 2048 bit e 3072 bit.

Procedura

  1. Accedere a ogni vCenter Server (shell di vCenter Server) nell'ambiente e avviare vSphere Certificate Manager.
    /usr/lib/vmware-vmca/bin/certificate-manager
  2. Opzione di selezione 1, Sostituzione del certificato SSL della macchina con un certificato personalizzato.
  3. Immettere il nome utente e la password dell'amministratore.
  4. Selezionare l'opzione 1, Generazione di richieste di firma del certificato e chiavi per il certificato SSL della macchina, per generare la richiesta CSR, rispondere alle richieste e uscire da vSphere Certificate Manager.
    Come parte del processo, è necessario fornire una directory. vSphere Certificate Manager posiziona i file del certificato e della chiave nella directory.
  5. Se si desidera anche sostituire tutti i certificati utente della soluzione, riavviare vSphere Certificate Manager e selezionare l'opzione 5, Sostituzione dei certificati utente della soluzione con un certificato personalizzato.
  6. Specificare la password e l'indirizzo IP o il nome host di vCenter Server, se richiesto.
  7. Selezionare l'opzione 1, Generazione di richieste di firma del certificato e chiavi per certificati utente soluzione, per generare le richieste CSR, rispondere alle richieste e uscire da vSphere Certificate Manager.
    Come parte del processo, è necessario fornire una directory. Gestione certificati posiziona i file del certificato e della chiave nella directory.

Operazioni successive

Per eseguire la sostituzione del certificato, vedere Sostituzione del certificato SSL della macchina con un certificato personalizzato tramite Certificate Manager.

Sostituzione del certificato SSL della macchina con un certificato personalizzato tramite Certificate Manager

È possibile usare l'utilità vSphere Certificate Manager per sostituire il certificato SSL della macchina in ciascun nodo con un certificato personalizzato. Il certificato SSL della macchina viene utilizzato dal servizio proxy inverso in ogni nodo vCenter Server. Ogni macchina deve disporre di un certificato SSL della macchina per garantire la comunicazione sicura con gli altri servizi.

Prerequisiti

Prima di iniziare, è necessaria una richiesta CSR per ogni macchina nell'ambiente. È possibile generare la richiesta CSR utilizzando vSphere Certificate Manager o in modo esplicito.

  1. Per generare la richiesta CSR utilizzando vSphere Certificate Manager, vedere Generazione di richieste di firma del certificato tramite Certificate Manager (certificati personalizzati).
  2. Per generare la richiesta CSR in modo esplicito, richiedere un certificato per ogni macchina a una CA aziendale o di terze parti. Il certificato deve soddisfare i seguenti requisiti:
    • Dimensioni chiave: da 2048 bit (minimo) a 8192 bit (massimo) (con codifica PEM)
    • Formato CRT
    • x509 versione 3
    • SubjectAltName deve contenere DNS Name=<machine_FQDN>.
    • Contiene i seguenti Utilizzi chiavi: Firma digitale, Crittografia chiave

Vedere anche l'articolo della Knowledge Base di VMware all'indirizzo https://kb.vmware.com/s/article/2112014, Recupero di certificati vSphere da Microsoft Certificate Authority.

Procedura

  1. Accedere a vCenter Server e avviare vSphere Certificate Manager.
    /usr/lib/vmware-vmca/bin/certificate-manager
  2. Opzione di selezione 1, Sostituzione del certificato SSL della macchina con un certificato personalizzato.
  3. Immettere il nome utente e la password dell'amministratore.
  4. Selezionare l'opzione 2, Importazione di certificati personalizzati e chiavi per sostituire il certificato SSL della macchina esistente, per avviare la sostituzione del certificato e rispondere alle richieste.
    vSphere Certificate Manager richiede le seguenti informazioni:
    • Password per [email protected]
    • Certificato personalizzato SSL della macchina valido (file .crt)
    • Chiave personalizzata SSL della macchina valida (file .key)
    • Certificato di firma valido per il certificato SSL della macchina personalizzato (file .crt)
    • Indirizzo IP di vCenter Server

Sostituzione dei certificati utente soluzione con certificati personalizzati tramite Certificate Manager

Molte aziende necessitano solo della sostituzione dei certificati dei servizi che sono accessibili dall'esterno. Tuttavia, l'utilità vSphere Certificate Manager consente anche di eseguire la sostituzione dei certificati utente della soluzione. Gli utenti della soluzione sono raccolte di servizi, ad esempio tutti i servizi associati a vSphere Client.

Quando viene richiesto un certificato utente della soluzione, fornire la catena completa di certificati di firma dell'autorità di certificazione di terze parti.

Il formato è simile al seguente.
-----BEGIN CERTIFICATE-----
Signing certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
CA intermediate certificates
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Root certificate of enterprise or external CA
-----END CERTIFICATE-----

Prerequisiti

Prima di iniziare, è necessaria una richiesta CSR per ogni macchina nell'ambiente. È possibile generare la richiesta CSR utilizzando vSphere Certificate Manager o in modo esplicito.

  1. Per generare la richiesta CSR utilizzando vSphere Certificate Manager, vedere Generazione di richieste di firma del certificato tramite Certificate Manager (certificati personalizzati).
  2. Richiedere alla CA aziendale o di terze parti un certificato per ciascun utente della soluzione in ciascun nodo. È possibile generare la richiesta CSR utilizzando vSphere Certificate Manager o preparandola autonomamente. La richiesta CSR deve soddisfare i seguenti requisiti:
    • Dimensioni chiave: da 2048 bit (minimo) a 8192 bit (massimo) (con codifica PEM)
    • Formato CRT
    • x509 versione 3
    • SubjectAltName deve contenere DNS Name=<machine_FQDN>.
    • Il certificato di ogni utente della soluzione deve avere un Subject diverso. È consigliabile includere ad esempio il nome utente della soluzione (come vpxd) o un altro identificatore univoco.

    • Contiene i seguenti Utilizzi chiavi: Firma digitale, Crittografia chiave

Vedere anche l'articolo della Knowledge Base di VMware all'indirizzo http://kb.vmware.com/kb/2112014, Obtaining vSphere certificates from a Microsoft Certificate Authority.

Procedura

  1. Accedere a vCenter Server e avviare vSphere Certificate Manager.
    /usr/lib/vmware-vmca/bin/certificate-manager
  2. Selezionare l'opzione 5, Sostituzione dei certificati utente della soluzione con il certificato personalizzato.
  3. Immettere il nome utente e la password di SSO.
  4. Selezionare l'opzione 2, Importazione di certificati personalizzati e chiavi per sostituire i certificati utente della soluzione esistenti e rispondere alle richieste.
    vSphere Certificate Manager richiede le seguenti informazioni:
    • Password per [email protected]
    • Certificato e chiave per l'utente della soluzione della macchina
    • Certificato e chiave (vpxd.crt e vpxd.key) per l'utente della soluzione della macchina
    • Set completo di certificati e chiavi (vpxd.crt e vpxd.key) per tutti gli utenti della soluzione