È possibile utilizzare l'utilità vSphere Certificate Manager per rendere VMCA un'autorità di certificazione intermedia. Dopo aver completato il processo, VMCA firma tutti i nuovi certificati con la catena completa. Se si desidera, è possibile utilizzare vSphere Certificate Manager per sostituire tutti i certificati esistenti con nuovi certificati firmati da VMCA.

Per rendere VMCA un'autorità di certificazione intermedia, è necessario eseguire vSphere Certificate Manager più volte. I passaggi generali per sostituire sia i certificati SSL delle macchine sia i certificati degli utenti della soluzione includono:

  1. Avviare l'utilità vSphere Certificate Manager.
  2. Generare una richiesta CSR tramite l'opzione 2, Sostituzione del certificato root VMCA con un certificato di firma personalizzato e sostituzione di tutti i certificati. Potrebbe essere necessario fornire successivamente alcune informazioni sui certificati. Quando viene nuovamente richiesta un'opzione, selezionare l'opzione 1, Generazione di richieste di firma del certificato e chiavi per il certificato di firma root VMCA.
  3. Inviare il CSR all'autorità di certificazione esterna o aziendale. Si riceve un certificato firmato e un certificato root dalla CA.
  4. Combinare il certificato root VMCA con il certificato root dell'autorità di certificazione e salvare il file.
  5. Sostituire i certificati tramite l'opzione 2, Sostituzione del certificato root VMCA con un certificato di firma personalizzato e sostituzione di tutti i certificati, e seguire le indicazioni. Questo processo sostituisce tutti i certificati nella macchina locale.
  6. (Facoltativo) Sostituire i certificati in ogni nodo quando più istanze di vCenter Server sono connesse nella configurazione Modalità collegata avanzata:
    1. Sostituendo innanzitutto il certificato SSL della macchina con il (nuovo) certificato VMCA (opzione 3, Sostituzione del certificato SSL della macchina con un certificato VMCA).
    2. Sostituendo quindi i certificati utente della soluzione con il (nuovo) certificato VMCA (opzione 6, Sostituzione dei certificati utente della soluzione con i certificati VMCA).

Generazione di CSR tramite Certificate Manager e preparazione del certificato root (CA intermedia)

È possibile utilizzare l'utilità vSphere Certificate Manager per generare richieste di firma del certificato (CSR). Inviare tali CSR alla CA aziendale o a un'autorità di certificazione esterna per la firma. È possibile utilizzare i certificati firmati con i diversi processi di sostituzione dei certificati supportati.

  • È possibile utilizzare vSphere Certificate Manager per creare la richiesta CSR.
    Nota: In vSphere 8.0 e versioni successive, se si utilizza vSphere Certificate Manager per generare la richiesta CSR, le dimensioni della chiave vengono modificate da 2048 a 3072 bit. In vSphere 8.0 Update 1 e versioni successive, utilizzare vSphere Client per generare una richiesta CSR con dimensioni della chiave pari a 2048 bit.
    Nota: Il certificato FIPS di vSphere convalida solo dimensioni della chiave RSA di 2048 bit e 3072 bit.
  • Se si preferisce creare la richiesta CSR manualmente, il certificato da firmare dovrà soddisfare i requisiti seguenti.
    • Dimensioni chiave: da 2048 bit (minimo) a 8192 bit (massimo) (con codifica PEM)
    • Formato PEM. VMware supporta PKCS8 e PKCS1 (chiavi RSA). Quando le chiavi vengono aggiunte in VECS, vengono convertite in PKCS8.
    • x509 versione 3
    • L'estensione CA deve essere impostata su true per i certificati root e la firma del certificato deve essere presente nell'elenco dei requisiti. Ad esempio:
      basicConstraints        = critical,CA:true
keyUsage                = critical,digitalSignature,keyCertSign
    • La firma di CRL deve essere abilitata.
    • L'estensione EKU (Extended Key Usage) può essere vuota o contenere l'Autenticazione server.
    • Nessun limite esplicito alla lunghezza della catena di certificati. VMCA utilizza il valore predefinito di OpenSSL, ovvero 10 certificati.
    • I certificati con caratteri jolly o con più nomi DNS non sono supportati.
    • Non è possibile creare CA secondarie di VMCA.

      Per un esempio di utilizzo dell'autorità di certificazione Microsoft, vedere l'articolo della Knowledge Base di VMware all'indirizzo https://kb.vmware.com/s/article/2112009, Creazione di un modello dell'autorità di certificazione Microsoft per la creazione di certificati SSL in vSphere 6.x.

Prerequisiti

vSphere Certificate Manager richiede diverse informazioni, che dipendono dall'ambiente e dal tipo di certificato che si desidera sostituire.

Per la generazione di qualsiasi CSR, viene richiesta la password dell'utente [email protected] o dell'amministratore del dominio vCenter Single Sign-On a cui ci si sta connettendo.

Procedura

  1. Accedere alla shell di vCenter Server e avviare vSphere Certificate Manager. 
    /usr/lib/vmware-vmca/bin/certificate-manager
  2. Selezionare l'opzione 2, Sostituzione del certificato root VMCA con un certificato di firma personalizzato e sostituzione di tutti i certificati.
    Inizialmente, si utilizza questa opzione per generare la richiesta CSR, non per sostituire i certificati.
  3. Immettere il nome utente e la password dell'amministratore.
  4. Selezionare l'opzione 1, Generazione di richieste di firma del certificato e chiavi per il certificato di firma root VMCA, per generare la richiesta CSR e rispondere ai prompt.
    Come parte del processo, è necessario fornire una directory. vSphere Certificate Manager posiziona il certificato da firmare (file *.csr) e il file della chiave corrispondente (file *.key) nella directory.
  5. Assegnare un nome alla richiesta di firma del certificato (CSR) root_signing_cert.csr.
  6. Inviare la richiesta CSR alla autorità di certificazione aziendale o esterna affinché venga firmato e denominare il certificato firmato risultante root_signing_cert.cer.
  7. In un editor di testo, combinare i certificati nel modo seguente. 
    -----BEGIN CERTIFICATE-----
Signed VMCA root certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
CA intermediate certificates
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Root certificate of enterprise or external CA
-----END CERTIFICATE-----
  8. Salvare il file come root_signing_chain.cer.

Operazioni successive

Sostituire il certificato root esistente con il certificato root concatenato. Vedere Sostituzione del certificato root VMCA con un certificato di firma personalizzato e sostituzione di tutti i certificati tramite Certificate Manager.

Sostituzione del certificato root VMCA con un certificato di firma personalizzato e sostituzione di tutti i certificati tramite Certificate Manager

È possibile usare l'utilità vSphere Certificate Manager per generare una richiesta CSR e inviarla a un'autorità di certificazione aziendale o di terze parti per la firma. È quindi possibile sostituire il certificato root VMCA con un certificato di firma personalizzato e sostituire tutti i certificati esistenti con certificati firmati dall'autorità di certificazione personalizzata.

Eseguire vSphere Certificate Manager in vCenter Server per sostituire il certificato root VMCA con un certificato di firma personalizzato.

Prerequisiti

  • Generare la catena di certificati.
  • Raccogliere le informazioni necessarie.
    • Password per [email protected]
    • Certificato personalizzato valido per root (file .crt)
    • Chiave personalizzata valida per la root (file .key)

Procedura

  1. Accedere alla shell di vCenter Server e avviare vSphere Certificate Manager. 
    /usr/lib/vmware-vmca/bin/certificate-manager
  2. Selezionare l'opzione 2, Sostituzione del certificato root VMCA con un certificato di firma personalizzato e sostituzione di tutti i certificati.
  3. Immettere il nome utente e la password dell'amministratore.
  4. Selezionare l'opzione 2, Importazione di certificati personalizzati e chiavi per sostituire il certificato di firma root VMCA esistente, e rispondere alle richieste.
    1. Specificare il percorso completo del certificato root quando richiesto.
    2. Se si stanno sostituendo i certificati per la prima volta, viene richiesto di specificare le informazioni da utilizzare per il certificato SSL della macchina.
      Queste informazioni includono l'FQDN obbligatorio della macchina e vengono archiviate nel file certool.cfg.

Sostituzione del certificato SSL della macchina con il certificato VMCA (autorità di certificazione intermedia) tramite Certificate Manager

Quando si utilizza VMCA come autorità di certificazione intermedia, è possibile sostituire esplicitamente il certificato SSL della macchina tramite l'utilità vSphere Certificate Manager. Sostituire innanzitutto il certificato root VMCA in vCenter Server, quindi sostituire il certificato SSL della macchina, che verrà firmato dal nuovo root di VMCA. È inoltre possibile utilizzare questa opzione per sostituire i certificati SSL delle macchine danneggiati o in scadenza.

Quando si sostituisce il certificato SSL della macchina esistente con un nuovo certificato firmato da VMCA, vSphere Certificate Manager richiede di fornire informazioni e inserisce tutti i valori, ad eccezione della password e dell'indirizzo IP di vCenter Server, nel file certool.cfg.

  • Password per [email protected]
  • Codice paese a due lettere
  • Nome azienda
  • Nome organizzazione
  • Unità organizzativa
  • Stato
  • Località
  • Indirizzo IP (facoltativo)
  • Indirizzo e-mail
  • Nome host, ovvero il nome dominio completo della macchina per cui si desidera sostituire il certificato. Se il nome host non corrisponde all'FQDN, la sostituzione del certificato non viene completata correttamente e l'ambiente potrebbe risultare instabile.
  • Indirizzo IP di vCenter Server
  • Nome VMCA, ovvero il nome dominio completo della macchina su cui è in esecuzione la configurazione del certificato.
Nota: Il campo OU (organizationalUnitName) non è più obbligatorio.

Prerequisiti

  • Per eseguire vSphere Certificate Manager con questa opzione, è necessario conoscere le seguenti informazioni.
    • Password per [email protected].
    • L'FQDN della macchina per cui si desidera generare un nuovo certificato firmato da VMCA. Tutte le altre proprietà presentano i valori predefiniti, ma possono essere modificate.
    • Nome host o indirizzo IP del sistema vCenter Server.

Procedura

  1. Accedere alla shell di vCenter Server e avviare vSphere Certificate Manager. 
    /usr/lib/vmware-vmca/bin/certificate-manager
  2. Selezionare l'opzione 3, Sostituzione del certificato SSL della macchina con il certificato VMCA.
  3. Immettere il nome utente e la password dell'amministratore.
  4. Inserire le informazioni richieste.
    vSphere Certificate Manager archivia le informazioni nel file certool.cfg.

risultati

vSphere Certificate Manager sostituisce il certificato SSL della macchina.

Sostituzione dei certificati utente della soluzione con certificati VMCA (autorità di certificazione intermedia) tramite Certificate Manager

Quando si utilizza VMCA come autorità di certificazione intermedia, è possibile sostituire esplicitamente il certificato utente della soluzione tramite l'utilità vSphere Certificate Manager. Sostituire innanzitutto il certificato root VMCA in vCenter Server, quindi sostituire il certificato utente della soluzione, che verrà firmato dal nuovo root di VMCA. È inoltre possibile utilizzare questa opzione per sostituire i certificati della soluzione danneggiati o in scadenza.

Prerequisiti

  • Riavviare esplicitamente tutti i nodi di vCenter Server se il certificato root VMCA è stato sostituito in una distribuzione composta da più istanze di vCenter Server nella configurazione Modalità collegata avanzata.
  • Per eseguire vSphere Certificate Manager con questa opzione, è necessario conoscere le seguenti informazioni.

Procedura

  1. Accedere alla shell di vCenter Server e avviare vSphere Certificate Manager. 
    /usr/lib/vmware-vmca/bin/certificate-manager
  2. Selezionare l'opzione 6, Sostituzione dei certificati utente della soluzione con certificati VMCA.
  3. Immettere il nome utente e la password dell'amministratore.
  4. Inserire le informazioni richieste.
    Per ulteriori informazioni, vedere l'articolo della Knowledge Base di VMware all'indirizzo https://kb.vmware.com/s/article/2112281.

risultati

vSphere Certificate Manager sostituisce tutti i certificati utente della soluzione.