Per ogni nuovo host ESXi, VMware Certificate Authority (VMCA) esegue il provisioning di un certificato firmato con VMCA come autorità di certificazione root, per impostazione predefinita. Il provisioning si verifica quando l'host viene aggiunto a vCenter Server in modo esplicito o come parte dell'installazione o dell'aggiornamento di ESXi.

È possibile visualizzare e gestire i certificati di ESXi da vSphere Client e utilizzando l'API vim.CertificateManager in vSphere Web Services SDK. Non è possibile visualizzare o gestire i certificati di ESXi utilizzando le CLI di gestione dei certificati disponibili per la gestione dei certificati di vCenter Server.

Certificati in vSphere

Quando ESXi e vCenter Server comunicano tra loro, utilizzano TLS per quasi tutto il traffico di gestione.

vCenter Server supporta le seguenti modalità del certificato per gli host ESXi.
Tabella 1. Modalità di certificato per gli host ESXi
Modalità certificato Descrizione
Autorità di certificazione VMware (predefinita) Utilizzare questa modalità se VMCA esegue il provisioning di tutti gli host ESXi, come autorità di certificazione di primo livello o come autorità di certificazione intermedia.

Per impostazione predefinita, VMCA esegue il provisioning dei certificati per gli host ESXi.

In questa modalità, è possibile aggiornare e rinnovare i certificati da vSphere Client.

Autorità di certificazione personalizzata Utilizzare questa modalità se si desidera utilizzare solo certificati personalizzati firmati da un'autorità di certificazione aziendale o di terze parti.
In questa modalità, l'utente è responsabile della gestione dei certificati. Non è possibile aggiornare e rinnovare i certificati da vSphere Client.
Nota: A meno che la modalità del certificato non venga impostata su Autorità di certificazione personalizzata, VMCA potrebbe sostituire i certificati personalizzati, ad esempio quando si seleziona Rinnova in vSphere Client.
Modalità di identificazione personale vSphere 5.5 utilizza la modalità identificazione personale, che è ancora disponibile come opzione di fallback per vSphere 6.x. Quando è attiva questa modalità, vCenter Server verifica che il certificato sia formattato correttamente, ma non verifica la validità del certificato. Vengono accettati anche certificati scaduti.

Non utilizzare questa modalità a meno che non si verifichino problemi che non è possibile risolvere in una delle altre due modalità. Alcuni servizi di vCenter Server 6.x e versioni successive potrebbero non funzionare correttamente in modalità di identificazione personale.

Scadenza del certificato ESXi

È possibile visualizzare informazioni sulla scadenza dei certificati firmati da VMCA o da un'autorità di certificazione di terze parti in vSphere Client. È possibile visualizzare le informazioni per tutti gli host gestiti da vCenter Server o per i singoli host. Se lo stato del certificato è Scade a breve (meno di otto mesi), viene generato un allarme giallo. Se lo stato del certificato è Scadenza imminente (meno di due mesi), viene generato un allarme rosso.

Provisioning e certificati di ESXi

Quando si avvia un host ESXi da un supporto di installazione, l'host dispone inizialmente di un certificato autogenerato. Quando si aggiunge un host al sistema vCenter Server, vCenter Server esegue nell'host il provisioning di un certificato firmato da VMCA come CA root.

È inoltre possibile utilizzare certificati personalizzati firmati da un'autorità di certificazione di terze parti o aziendale per gli host ESXi.

Provisioning e certificati in Auto Deploy di ESXi

Si tratta di un processo simile a quello degli host per cui viene eseguito il provisioning tramite distribuzione automatica. Tuttavia, poiché tali host non archiviano alcuno stato, il certificato firmato viene archiviato dal server di distribuzione automatica nel relativo archivio di certificati locale. Il certificato viene riutilizzato durante i successivi avvii degli host ESXi. Un server di distribuzione automatica fa parte di qualsiasi distribuzione o sistema vCenter Server incorporati.

Se VMCA non è disponibile quando un host di distribuzione automatica viene avviato per la prima volta, l'host tenta innanzitutto di connettersi. Se l'host non è in grado di stabilire la connessione, viene continuamente spento e riavviato finché VMCA non diventa disponibile ed è possibile eseguire il provisioning di un certificato firmato per l'host.

È possibile fare in modo che Auto Deploy sia un'autorità di certificazione subordinata di un'autorità di certificazione di terze parti. In questo caso, i certificati generati vengono firmati con la chiave SSL di Auto Deploy. Vedere Rendere Auto Deploy un'autorità di certificazione subordinata.

In ESXi 8.0 e versioni successive è possibile utilizzare certificati personalizzati (certificati firmati da un'autorità di certificazione) con Auto Deploy. All'avvio dell'host, Auto Deploy associa il certificato personalizzato a un indirizzo MAC o all'UUID del BIOS dell'host ESXi. Vedere Utilizzo di certificati personalizzati con Auto Deploy.

Privilegi necessari per la gestione del certificato di ESXi

Per consentire agli utenti di gestire i certificati dell'host ESXi, è necessario il privilegio Certificati.Gestisci certificati.

Modifiche del nome dell'host e dell'indirizzo IP ESXi

La modifica di un nome host o di un indirizzo IP ESXi potrebbe influire sul fatto che vCenter Server consideri o meno valido un certificato host. La modalità con cui l'host ESXi viene aggiunto in vCenter Server influisce sulla necessità o meno di un intervento manuale. L'intervento manuale consiste nel riconnettere l'host oppure nel rimuovere l'host da vCenter Server per poi riaggiungerlo.

Tabella 2. Quando le modifiche del nome host o dell'indirizzo IP richiedono l'intervento manuale
Host ESXi aggiunto a vCenter Server tramite... Modifiche del nome host ESXi Modifiche dell'indirizzo IP ESXi
Nome host Problema di connettività di vCenter Server. È necessario l'intervento manuale. Nessun intervento necessario.
Indirizzo IP Nessun intervento necessario. Problema di connettività di vCenter Server. È necessario l'intervento manuale.