Il criterio di sicurezza dell'azienda potrebbe richiedere la sostituzione del certificato SSL predefinito ESXi con un certificato firmato dall'autorità di certificazione (CA) di terze parti in tutti gli host.

Per impostazione predefinita, i componenti vSphere utilizzano il certificato e la chiave firmati da VMCA che vengono creati durante l'installazione. Se si elimina accidentalmente il certificato firmato da VMCA, rimuovere l'host dal sistema vCenter Server e aggiungerlo nuovamente. Quando si aggiunge l'host, vCenter Server richiede un nuovo certificato da VMCA ed esegue il provisioning dell'host con tale certificato.

È possibile sostituire i certificati firmati da VMCA con certificati di un'autorità di certificazione attendibile, ovvero un'autorità di certificazione commerciale o un'autorità di certificazione dell'organizzazione, se richiesto dai criteri dell'azienda.

È possibile sostituire i certificati predefiniti con certificati personalizzati utilizzando vSphere Client o la CLI.

Nota: In vSphere Web Services SDK è inoltre possibile utilizzare gli oggetti gestiti vim.CertificateManager e vim.host.CertificateManager. Vedere la documentazione vSphere Web Services SDK.

Prima di sostituire il certificato, è necessario aggiornare l'archivio TRUSTED_ROOTS in VECS nel sistema vCenter Server che gestisce l'host per assicurarsi che vCenter Server e l'host ESXi abbiano una relazione di attendibilità.

Nota: Se si sostituiscono certificati SSL in un host ESXi che fa parte di un cluster vSAN, eseguire i passaggi descritti nell'articolo della Knowledge Base VMware in https://kb.vmware.com/s/article/56441.

Requisiti per le richieste di firma del certificato ESXi per i certificati personalizzati

Utilizzare una richiesta CSR con le seguenti caratteristiche:

  • Dimensioni chiave: da 2048 bit (minimo) a 8192 bit (massimo) (con codifica PEM)
  • Formato PEM. VMware supporta PKCS8 e PKCS1 (chiavi RSA). Quando le chiavi vengono aggiunte in VECS, vengono convertite in PKCS8.
  • x509 versione 3
  • Per i certificati root, l'estensione CA deve essere impostata su true e la firma del certificato deve essere presente nell'elenco dei requisiti.
  • SubjectAltName deve contenere DNS Name=<machine_FQDN>.
  • Formato CRT
  • Contiene i seguenti Utilizzi chiavi: Firma digitale, Crittografia chiave
  • Ora di inizio un giorno prima dell'ora corrente.
  • CN (e SubjectAltName) impostato sul nome host (o indirizzo IP) che l'host ESXi ha nell'inventario di vCenter Server.
Nota: Il certificato FIPS di vSphere convalida solo le chiavi RSA con dimensioni 2048 e 3072. Vedere Considerazioni sull'utilizzo di FIPS.
vSphere non supporta i certificati seguenti.
  • Certificati con caratteri jolly.
  • Gli algoritmi md2WithRSAEncryption, md5WithRSAEncryption, RSASSA-PSS, dsaWithSHA1, ecdsa_with_SHA1 e sha1WithRSAEncryption non sono supportati.

Per generare la richiesta CSR utilizzando vSphere Client, vedere Generazione di una richiesta di firma del certificato per un certificato personalizzato tramite vSphere Client.

Per informazioni sulla generazione della richiesta CSR tramite la CLI, vedere l'articolo della Knowledge Base di VMware all'indirizzo https://kb.vmware.com/s/article/2113926.