È possibile utilizzare vSphere Client per sostituire i certificati predefiniti con certificati personalizzati.

È possibile utilizzare vSphere Client per generare richieste CSR per ogni macchina e sostituire i certificati quando li si riceve dall'autorità di certificazione interna o di terze parti. Quando si inviano le CSR all'autorità di certificazione interna o di terze parti, l'autorità di certificazione restituisce i certificati firmati e il certificato root. Da vSphere Client è possibile caricare sia il certificato root sia i certificati firmati.

Generazione della richiesta di firma del certificato per il certificato SSL della macchina utilizzando vSphere Client (certificati personalizzati)

Il certificato SSL della macchina viene utilizzato dal servizio proxy inverso in ogni nodo vCenter Server. Ogni macchina deve disporre di un certificato SSL della macchina per garantire la comunicazione sicura con gli altri servizi. È possibile utilizzare vSphere Client per generare una richiesta di firma del certificato (CSR) per il certificato SSL della macchina e per sostituire il certificato una volta pronto.

Prerequisiti

Il certificato deve soddisfare i seguenti requisiti:

  • Dimensioni chiave: da 2048 bit (minimo) a 8192 bit (massimo) (con codifica PEM). vSphere Client e l'API accettano ancora dimensioni della chiave fino a 16384 bit quando si genera la richiesta di firma del certificato.
  • Formato CRT
  • x509 versione 3
  • SubjectAltName deve contenere DNS Name=<machine_FQDN>.
  • Contiene i seguenti Utilizzi chiavi: Firma digitale, Crittografia chiave
Nota: Il certificato FIPS di vSphere convalida solo dimensioni della chiave RSA di 2048 bit e 3072 bit.

Procedura

  1. Accedere con vSphere Client a vCenter Server.
  2. Specificare il nome utente e la password per [email protected] o un altro membro del gruppo di amministratori di vCenter Single Sign-On.
    Se durante l'installazione è stato specificato un dominio diverso, accedere come administrator@ mydomain.
  3. Passare all'interfaccia utente di Gestione dei certificati.
    1. Dal menu Home, selezionare Amministrazione.
    2. In Certificati, fare clic su Gestione certificati.
  4. Immettere le credenziali di vCenter Server.
  5. Generare la richiesta CSR.
    1. Nella scheda SSL macchina selezionare il certificato desiderato e fare clic su Genera richiesta di firma del certificato.
    2. Immettere le informazioni sui certificati e fare clic su Avanti.
      2048 (bit) è il valore predefinito per le dimensioni della chiave. Modificare questo valore secondo necessità.
      Nota: Quando si utilizza vCenter Server per generare una richiesta CSR con una chiave di grandi dimensioni, il completamento della generazione richiede alcuni minuti a causa della natura dell'operazione che richiede un uso intensivo della CPU.
    3. Copiare o scaricare la richiesta CSR.
    4. Fare clic su Fine.
    5. Fornire il CSR all'autorità di certificazione.

Operazioni successive

Quando l'autorità di certificazione restituisce il certificato, sostituire il certificato esistente nell'archivio certificati. Vedere Aggiunta di certificati personalizzati mediante vSphere Client.

Aggiunta di un certificato root attendibile all'archivio certificati mediante vSphere Client

Se si desidera utilizzare certificati di terze parti nell'ambiente, è necessario aggiungere un certificato root attendibile all'archivio certificati. È possibile eseguire questa operazione utilizzando vSphere Client.

Prerequisiti

Ottenere il certificato root personalizzato dall'autorità di certificazione (CA) di terze parti o interna.

vSphere accetta solo certificati CA validi per l'importazione. Per essere valido, un certificato CA deve avere il bit CA e il bit keyCertSign impostati rispettivamente nel vincolo di base e nelle estensioni del certificato X.509 v3 per l'utilizzo della chiave. Questo implica che il certificato è CA e il suo scopo è la firma del certificato. Per ulteriori informazioni, vedere https://www.rfc-editor.org/rfc/rfc5280.

Assicurarsi che il bit keyCertSign sia impostato per tutti i certificati nella catena.

Procedura

  1. Accedere con vSphere Client a vCenter Server.
  2. Specificare il nome utente e la password per [email protected] o un altro membro del gruppo di amministratori di vCenter Single Sign-On.
    Se durante l'installazione è stato specificato un dominio diverso, accedere come administrator@ mydomain.
  3. Passare all'interfaccia utente di Gestione dei certificati.
    1. Dal menu Home, selezionare Amministrazione.
    2. In Certificati, fare clic su Gestione certificati.
  4. Se il sistema lo richiede, immettere le credenziali di vCenter Server.
  5. Nella scheda Origine attendibile fare clic su Aggiungi certificato root attendibile.
  6. Fare clic su Sfoglia e selezionare la posizione della catena di certificati.
    È possibile utilizzare un file di tipo CER, PEM, o CRT.
  7. Fare clic su Aggiungi.
    Il certificato viene aggiunto all'archivio.
    Nota: In vSphere 8.0 Update 2 e versioni successive, la casella di controllo Avvia push del certificato root negli host vCenter è stata rimossa. vCenter Server esegue il push dei certificati root in tutti gli host connessi nell'inventario quando viene aggiunto un certificato. Quando viene connesso un host con certificati root diversi da vCenter Server, vCenter Server esegue il push dei certificati root per correggere questa differenza. In questo caso, i certificati root vCenter Server sovrascrivono quelli nell'host, in modo che gli amministratori possano assicurarsi che tutti i certificati root personalizzati necessari nell'inventario vengano aggiunti a vCenter Server.

Aggiunta di certificati personalizzati mediante vSphere Client

È possibile utilizzare vSphere Client per aggiungere certificati SSL della macchina personalizzati all'archivio certificati.

In genere, è sufficiente sostituire il certificato SSL della macchina per ciascun componente.

Prerequisiti

Generare le richieste di firma (CSR) per ogni certificato che si desidera sostituire. Vedere Generazione della richiesta di firma del certificato per il certificato SSL della macchina utilizzando vSphere Client (certificati personalizzati). Salvare il certificato e la chiave privata in una posizione a cui vCenter Server può accedere.

Procedura

  1. Accedere con vSphere Client a vCenter Server.
  2. Specificare il nome utente e la password per [email protected] o un altro membro del gruppo di amministratori di vCenter Single Sign-On.
    Se durante l'installazione è stato specificato un dominio diverso, accedere come administrator@ mydomain.
  3. Passare all'interfaccia utente di Gestione dei certificati.
    1. Dal menu Home, selezionare Amministrazione.
    2. In Certificati, fare clic su Gestione certificati.
  4. Se il sistema lo richiede, immettere le credenziali di vCenter Server.
  5. Nella scheda SSL macchina, selezionare il certificato e quindi fare clic su Importa e sostituisci certificato.
  6. Fare clic sull'opzione di sostituzione del certificato appropriata e fare clic su Avanti.
    Opzione Descrizione
    Sostituisci con certificato VMCA Crea una richiesta di firma (CSR) generata da VMCA per sostituire il certificato corrente.
    Sostituire con certificato CA esterno in cui la richiesta CSR viene generata da vCenter Server (chiave privata incorporata) Utilizzare un certificato firmato usando una richiesta CSR generata da vCenter Server per sostituire il certificato corrente.
    Sostituisci con certificato CA esterno (chiave privata necessaria) Utilizzare un certificato firmato da un'autorità di certificazione esterna per sostituire il certificato corrente.
  7. Immettere le informazioni relative alla richiesta di firma (CSR) o caricare i certificati appropriati.
  8. Fare clic sulla casella di controllo per confermare di aver eseguito il backup di vCenter Server e dei relativi database.
  9. Rivedere le informazioni e fare clic su Fine.
    Il sistema sostituisce il certificato e visualizza un messaggio che indica che l'operazione è riuscita.
  10. Dopo che il certificato è stato modificato, viene visualizzato un messaggio. Fare clic su Aggiorna per aggiornare il browser.

Generazione di un certificato foglia VMCA

È possibile generare un certificato foglia firmato da VMware Certificate Authority (VMCA) da utilizzare in VMware Infrastructure.

Oltre a gestire tutti i certificati, VMware Certificate Authority (VMCA) può generare certificati foglia. I certificati foglia vengono firmati da VMCA e vengono utilizzati per identificare le altre risorse VMware. I certificati foglia generati da VMCA non vengono archiviati in VECS. Inoltre, vCenter Server non monitora la scadenza di questi certificati foglia.

Prerequisiti

Generare una richiesta di firma del certificato (CSR) nell'host di VMware Infrastructure in cui si desidera installare il certificato foglia.

Procedura

  1. Accedere con vSphere Client a vCenter Server.
  2. Specificare il nome utente e la password per [email protected] o un altro membro del gruppo di amministratori di vCenter Single Sign-On.
    Se durante l'installazione è stato specificato un dominio diverso, accedere come administrator@ mydomain.
  3. Passare all'interfaccia utente di Gestione dei certificati.
    1. Dal menu Home, selezionare Amministrazione.
    2. In Certificati, fare clic su Gestione certificati.
  4. Se il sistema lo richiede, immettere le credenziali di vCenter Server.
  5. Nella scheda Origine attendibile selezionare il certificato root VMCA e fare clic su Rilascia nuovo certificato foglia.
  6. Cercare la richiesta CSR generata in precedenza, specificare una durata, quindi fare clic su Avanti.
  7. Fare clic su Scarica certificati per salvare i certificati foglia e root.

risultati

I certificati foglia e root generati vengono creati e scaricati nella posizione specificata.

Operazioni successive

Importare i certificati foglia e root nell'host di destinazione in VMware Infrastructure.