Per ogni nuovo host ESXi, VMware Certificate Authority (VMCA) esegue il provisioning di un certificato firmato con VMCA come autorità di certificazione root, per impostazione predefinita. Il provisioning si verifica quando l'host viene aggiunto a vCenter Server in modo esplicito o come parte dell'installazione o dell'aggiornamento di ESXi.
È possibile visualizzare e gestire i certificati di ESXi da vSphere Client e utilizzando l'API vim.CertificateManager in vSphere Web Services SDK. Non è possibile visualizzare o gestire i certificati di ESXi utilizzando le CLI di gestione dei certificati disponibili per la gestione dei certificati di vCenter Server.
A partire da vSphere 8.0 Update 3, è possibile sostituire i certificati ESXi senza attivare la modalità di manutenzione dell'host e senza dover riavviare l'host o i singoli servizi.
Certificati e modalità dei certificati
Quando ESXi e vCenter Server comunicano tra loro, utilizzano TLS per quasi tutto il traffico di gestione.
vCenter Server supporta i certificati e le modalità dei certificati seguenti per gli host ESXi.
Modalità certificato | Descrizione |
---|---|
Autorità di certificazione VMware (predefinita) | Per impostazione predefinita, l'autorità di certificazione VMware viene utilizzata come autorità di certificazione per i certificati dell'host ESXi. Per impostazione predefinita, VMCA è l'autorità di certificazione root. Tuttavia, può essere configurata come autorità di certificazione intermedia per un'altra autorità di certificazione. In modalità vmca, è possibile aggiornare e rinnovare i certificati da vSphere Client. Viene utilizzata anche quando VMCA è un certificato subordinato. |
Autorità di certificazione personalizzata | Utilizzare questa modalità se si desidera utilizzare solo certificati personalizzati firmati da un'autorità di certificazione aziendale o di terze parti. Nella modalità personalizzata, l'utente è responsabile della gestione dei certificati. A partire da vSphere 8.0 Update 3, è possibile gestire i certificati personalizzati da vSphere Client.
Nota: A meno che la modalità del certificato non venga impostata su Autorità di certificazione personalizzata (
personalizzata), è possibile che VMCA sostituisca i certificati personalizzati, ad esempio quando si seleziona
Rinnova in
vSphere Client.
|
Modalità di identificazione personale | vSphere 5.5 utilizza la modalità identificazione personale, che è ancora disponibile come opzione di fallback per vSphere 6.x. Quando è attiva questa modalità, vCenter Server verifica che il certificato sia formattato correttamente, ma non verifica la validità del certificato. Vengono accettati anche certificati scaduti. Non utilizzare questa modalità a meno che non si verifichino problemi che non è possibile risolvere in una delle altre due modalità. Alcuni servizi di vCenter Server 6.x e versioni successive potrebbero non funzionare correttamente in modalità di identificazione personale. |
Per modificare la modalità del certificato in modo da utilizzare un tipo diverso di certificato, vedere Workflow per la modifica della modalità del certificato di ESXi e Modifica della modalità del certificato di ESXi.
Scadenza del certificato ESXi
È possibile visualizzare informazioni sulla scadenza dei certificati firmati da VMCA o da un'autorità di certificazione di terze parti in vSphere Client. È possibile visualizzare le informazioni per tutti gli host gestiti da vCenter Server o per i singoli host. Se lo stato del certificato è Scade a breve (meno di otto mesi), viene generato un allarme giallo. Se lo stato del certificato è Scadenza imminente (meno di due mesi), viene generato un allarme rosso.
Provisioning e certificati di ESXi
Quando si avvia un host ESXi da un supporto di installazione, l'host dispone inizialmente di un certificato autogenerato. Quando si aggiunge un host al sistema vCenter Server, vCenter Server esegue nell'host il provisioning di un certificato firmato da VMCA come CA root.
È inoltre possibile utilizzare certificati personalizzati firmati da un'autorità di certificazione di terze parti o aziendale per gli host ESXi.
Provisioning e certificati in Auto Deploy di ESXi
Si tratta di un processo simile a quello degli host per cui viene eseguito il provisioning tramite distribuzione automatica. Tuttavia, poiché tali host non archiviano alcuno stato, il certificato firmato viene archiviato dal server di distribuzione automatica nel relativo archivio di certificati locale. Il certificato viene riutilizzato durante i successivi avvii degli host ESXi. Un server di distribuzione automatica fa parte di qualsiasi distribuzione o sistema vCenter Server incorporati.
Se VMCA non è disponibile quando un host di distribuzione automatica viene avviato per la prima volta, l'host tenta innanzitutto di connettersi. Se l'host non è in grado di stabilire la connessione, viene continuamente spento e riavviato finché VMCA non diventa disponibile ed è possibile eseguire il provisioning di un certificato firmato per l'host.
È possibile fare in modo che Auto Deploy sia un'autorità di certificazione subordinata di un'autorità di certificazione di terze parti. In questo caso, i certificati generati vengono firmati con la chiave SSL di Auto Deploy. Vedere Rendere Auto Deploy un'autorità di certificazione subordinata.
In ESXi 8.0 e versioni successive è possibile utilizzare certificati personalizzati (certificati firmati da un'autorità di certificazione) con Auto Deploy. All'avvio dell'host, Auto Deploy associa il certificato personalizzato a un indirizzo MAC o all'UUID del BIOS dell'host ESXi. Vedere Utilizzo di certificati personalizzati con Auto Deploy.
Privilegi necessari per la gestione del certificato di ESXi
Per consentire agli utenti di gestire i certificati dell'host ESXi, è necessario il privilegio .
Modifiche del nome dell'host e dell'indirizzo IP ESXi
La modifica di un nome host o di un indirizzo IP ESXi potrebbe influire sul fatto che vCenter Server consideri o meno valido un certificato host. La modalità con cui l'host ESXi viene aggiunto in vCenter Server influisce sulla necessità o meno di un intervento manuale. L'intervento manuale consiste nel riconnettere l'host oppure nel rimuovere l'host da vCenter Server per poi riaggiungerlo.
Host ESXi aggiunto a vCenter Server tramite... | Modifiche del nome host ESXi | Modifiche dell'indirizzo IP ESXi |
---|---|---|
Nome host | Problema di connettività di vCenter Server. È necessario l'intervento manuale. | Nessun intervento necessario. |
Indirizzo IP | Nessun intervento necessario. | Problema di connettività di vCenter Server. È necessario l'intervento manuale. |