Ambienti che utilizzano certificati VMware Certificate Authority

VMware Certificate Authority (VMCA) può occuparsi di tutta la gestione dei certificati. VMCA fornisce ai componenti di vCenter Server e agli host ESXi certificati che utilizzano VMCA come autorità di certificazione root. Se si esegue l'aggiornamento a vSphere 6.0 o versione successiva da una versione precedente di vSphere, tutti i certificati autofirmati vengono sostituiti con certificati firmati da VMCA.

Se in questa fase non si sostituiscono i certificati VMware, l'ambiente inizia a utilizzare certificati firmati da VMCA anziché certificati autofirmati.

Ambienti che utilizzano certificati personalizzati

Se i criteri dell'azienda richiedono certificati firmati da un'autorità di certificazione aziendale o di terze parti oppure informazioni sul certificato personalizzato, è possibile scegliere fra diverse opzioni per una nuova installazione.

• Fare in modo che il certificato root VMCA venga firmato da un'autorità di certificazione (CA) aziendale o di terze parti. Sostituire il certificato root VMCA con il certificato firmato. In questo scenario, il certificato VMCA è un certificato intermedio. VMCA fornisce ai componenti di vCenter Server e agli host ESXi certificati che includono la catena di certificati completa.
• Se i criteri dell'azienda non consentono certificati intermedi nella catena, è possibile sostituire i certificati in modo esplicito. È possibile utilizzare vSphere Client, l'utilità vSphere Certificate Manager o eseguire la sostituzione manuale del certificato utilizzando le CLI di gestione dei certificati.

Quando si esegue l'aggiornamento di un ambiente che utilizza certificati personalizzati, è possibile conservare alcuni certificati.

• Gli host ESXi mantengono i propri certificati personalizzati durante l'aggiornamento. Assicurarsi che il processo di aggiornamento divCenter Server aggiunga tutti i certificati root pertinenti nell'archivio TRUSTED_ROOTS in VMware Certificate Endpoint Store (VECS) in vCenter Server.

  Dopo l'aggiornamento a vSphere 6.0 o versione successiva, è possibile impostare la modalità del certificato su Personalizzato. Se la modalità del certificato è quella predefinita, ovvero VMCA, e si esegue l'aggiornamento del certificato da vSphere Client, i certificati firmati da VMCA sostituiscono i certificati personalizzati.

• In caso di aggiornamento di una semplice installazione di vCenter Server in una distribuzione incorporata, vCenter Server conserva i certificati personalizzati. Dopo l'aggiornamento, l'ambiente funziona come prima. I certificati di vCenter Server e vCenter Single Sign-On esistenti vengono conservati. I certificati vengono utilizzati come certificati SSL della macchina. Inoltre, VMCA assegna un certificato firmato da VMCA a ciascun utente della soluzione (raccolta di servizi vCenter). L'utente della soluzione utilizza tale certificato solo per eseguire l'autenticazione in vCenter Single Sign-On. VMware non consiglia di sostituire i certificati utente della soluzione.

Interfacce dei certificati di vSphere

La gestione dei certificati per ESXi viene eseguita da vSphere Client. VMCA esegue il provisioning dei certificati e li archivia localmente nell'host ESXi. VMCA non archivia i certificati dell'host ESXi in VMDIR o in VECS. Vedere la documentazione di Sicurezza di vSphere.

Certificati di vCenter Server supportati

Per vCenter Server e le macchine e i servizi correlati, sono supportati i certificati seguenti:

• Certificati generati e firmati dall'Autorità di certificazione VMware (VMCA).
• Certificati personalizzati.
  • Certificati aziendali generati dall'infrastruttura PKI interna.
  • Certificati firmati da un'autorità di certificazione di terze parti generati da un'infrastruttura PKI esterna, ad esempio Verisign, GoDaddy e così via.

I certificati autofirmati creati utilizzando OpenSSL in cui non esiste alcuna autorità di certificazione root non sono supportati.