È possibile eseguire diversi tipi di sostituzione dei certificati in base ai criteri dell'azienda e ai requisiti del sistema che si sta configurando. È possibile eseguire la sostituzione del certificato da vSphere Client, utilizzando l'utilità vSphere Certificate Manager, o manualmente tramite le CLI incluse nell'installazione.

VMware Certificate Authority (VMCA) è incluso in ogni distribuzione di vCenter Server. VMCA fornisce a ogni nodo, ogni utente della soluzione vCenter Server e ogni host ESXi un certificato firmato da VMCA come autorità di certificazione.

È possibile sostituire i certificati predefiniti. Per i componenti di vCenter Server, è possibile utilizzare un set di strumenti della riga di comando inclusi nell'installazione. Sono disponibili diverse opzioni.

Nota: Se vCenter Server è collegato a NSX-T Manager e si sostituiscono i certificati di vCenter Server, è necessario aggiornare l'identificazione personale del gestore delle risorse di elaborazione di vCenter Server. Vedere l'argomento "Aggiunta di un gestore delle risorse di elaborazione" nella Guida del coordinatore della migrazione di NSX-T Data Center.

Sostituzione dei certificati con certificati firmati da VMCA

Se il certificato VMCA scade o si desidera sostituirlo per altri motivi, è possibile utilizzare le CLI di gestione dei certificati per eseguire tale processo. Per impostazione predefinita, il certificato root VMCA scade dopo 10 anni e tutti i certificati firmati da VMCA scadono alla scadenza del certificato root, ovvero dopo un massimo di 10 anni.

Figura 1. I certificati firmati da VMCA vengono archiviati in VECS
In modalità predefinita, VMCA fornisce certificati firmati da VMCA.
È possibile utilizzare le seguenti opzioni di vSphere Certificate Manager:
  • Sostituzione del certificato SSL della macchina con il certificato VMCA
  • Sostituzione del certificato utente della soluzione con il certificato VMCA

Per la sostituzione manuale del certificato, vedere Sostituzione dei certificati firmati da VMCA esistenti con nuovi certificati firmati da VMCA tramite la CLI.

Impostazione di VMCA come autorità di certificazione intermedia

È possibile sostituire il certificato root VMCA con un certificato firmato da un'autorità di certificazione (CA) aziendale o di terze parti. VMCA firma il certificato root personalizzato ogni volta che esegue il provisioning dei certificati, rendendo VMCA un'autorità di certificazione intermedia.
Nota: Se si esegue una nuova installazione con un vCenter Server, sostituire il certificato root VMCA prima di aggiungere gli host ESXi. In questo modo, VMCA firma l'intera catena e non è necessario generare nuovi certificati.
Figura 2. I certificati firmati da un'autorità di certificazione aziendale o di terze parti utilizzano VMCA come autorità di certificazione intermedia
Il certificato VMCA è incluso come certificato intermedio. Il certificato root è firmato da un'autorità di certificazione di terze parti.
È possibile utilizzare le seguenti opzioni di vSphere Certificate Manager:
  • Sostituzione del certificato root VMCA con un certificato di firma personalizzato e sostituzione di tutti i certificati
  • Sostituzione del certificato SSL della macchina con il certificato VMCA (distribuzione con Modalità collegata avanzata con più nodi)
  • Sostituzione del certificato utente della soluzione con il certificato VMCA (distribuzione con Modalità collegata avanzata con più nodi)

Per la sostituzione manuale del certificato, vedere Impostazione di VMCA come autorità di certificazione intermedia tramite la CLI.

Sostituzione dei certificati firmati da VMCA con certificati personalizzati

È possibile sostituire i certificati firmati da VMCA esistenti con certificati personalizzati. Se si utilizza tale approccio, si è responsabili del provisioning e del monitoraggio di tutti i certificati.

Figura 3. I certificati esterni vengono archiviati direttamente in VECS
I certificati esterni vengono archiviati direttamente in VECS. VMCA non viene utilizzato.
È possibile utilizzare le seguenti opzioni di vSphere Certificate Manager:
  • Sostituzione del certificato SSL della macchina con un certificato personalizzato
  • Sostituzione dei certificati utente della soluzione con certificati personalizzati

Per la sostituzione manuale del certificato, vedere Sostituire certificati con certificati personalizzati usando la CLI.

È inoltre possibile utilizzare vSphere Client per generare una richiesta CSR per un certificato SSL della macchina (personalizzato) e sostituire il certificato dopo che l'autorità di certificazione lo ha restituito. Vedere Generazione della richiesta di firma del certificato per il certificato SSL della macchina utilizzando vSphere Client (certificati personalizzati).

Utilizzare l'approccio ibrido alla distribuzione dei certificati

Nell'approccio ibrido è possibile fare in modo che VMCA fornisca alcuni certificati e utilizzare certificati personalizzati per altre parti dell'infrastruttura. Ad esempio, poiché i certificati utente della soluzione vengono utilizzati solo per l'autenticazione in vCenter Single Sign-On, è consigliabile fare in modo che VMCA fornisca tali certificati. Sostituire i certificati SSL della macchina con certificati personalizzati per proteggere tutto il traffico SSL.

I criteri dell'azienda spesso non consentono autorità di certificazioni (CA) intermedie. In questi casi, la distribuzione ibrida è una soluzione valida. Riduce al minimo il numero di certificati da sostituire e protegge tutto il traffico. La distribuzione ibrida lascia che sia solo il traffico interno, ovvero il traffico dell'utente della soluzione, ad utilizzare i certificati predefiniti firmati da VMCA.

Per ulteriori informazioni, vedere il post del blog intitolato New Product Walkthrough - Hybrid vSphere SSL Certificate Replacement all'indirizzo http://vmware.com/go/hybridvmca.

Sostituzione del certificato di ESXi

Per gli host ESXi, è possibile modificare il comportamento di provisioning del certificato di vSphere Client. Per maggiori dettagli, vedere la documentazione di Sicurezza di vSphere.

Tabella 1. Opzioni di sostituzione del certificato di ESXi
Opzione Descrizione
Modalità Autorità di certificazione VMware (predefinita) Quando si rinnovano certificati da vSphere Client, VMCA emette i certificati per gli host. Se il certificato root VMCA è stato modificato in modo da includere una catena di certificati, i certificati host includono la catena completa.
Modalità Autorità di certificazione personalizzata Consente di aggiornare e utilizzare manualmente i certificati che non sono stati firmati o emessi da VMCA.
Modalità di identificazione personale Può essere utilizzata per conservare i certificati 5.5 durante l'aggiornamento. Utilizzare questa modalità solo temporaneamente nelle situazioni di debug.