Rinnovare o aggiornare i certificati ESXi

Se si utilizza VMware Certificate Authority (VMCA) per assegnare certificati agli host, è possibile rinnovare tali certificati da vSphere Client. Se si utilizzano certificati VMCA o certificati personalizzati, è possibile aggiornare tutti i certificati dall'archivio TRUSTED_ROOTS associato a vCenter Server.

È possibile utilizzare vSphere Client per rinnovare i certificati VMCA quando stanno per scadere o se si desidera eseguire il provisioning dell'host con un nuovo certificato per altri motivi. Se non si rinnova il certificato VMCA prima della scadenza, disconnettendo l'host e riconnettendolo si fa in modo che vCenter Server rinnovi il certificato. L'operazione di riaggiunta dell'host in vCenter Server ristabilisce l'attendibilità e consente a vCenter Server di emettere senza condizioni il certificato rinnovato.

Per impostazione predefinita, vCenter Server rinnova i certificati VMCA di un host con stato Scaduto, Scadenza imminente o Scade a breve e ogni volta che l'host viene aggiunto all'inventario oppure riconnesso.

Non è possibile rinnovare un certificato ESXi con una data di scadenza successiva a quella del certificato root attendibile. Ad esempio, anche se l'opzione avanzata vpxd.certmgmt.certs.daysValid di ESXi è impostata su cinque anni e il certificato root attendibile scade tra due anni, la data di scadenza del certificato ESXi è limitata a due anni.

È possibile utilizzare vSphere Client per fare in modo che tutti i certificati attualmente presenti nell'archivio TRUSTED_ROOTS dell'archivio VECS di vCenter Server vengano trasferiti tramite push nell'host ESXi. Utilizzare questa funzionalità se è necessario aggiornare i root attendibili in un host ESXi. Questa funzionalità è disponibile sia per i certificati VMCA sia per i certificati personalizzati.

Prerequisiti

Verificare quanto segue:

Se si utilizzano certificati VMCA, la modalità del certificato è impostata su vmca.
Se si utilizzano certificati personalizzati, la modalità del certificato è impostata su personalizzata.
Gli host ESXi sono connessi al sistema vCenter Server.
È presente una sincronizzazione corretta dell'ora tra il sistema vCenter Server e gli host ESXi.
La risoluzione DNS funziona tra il sistema vCenter Server e gli host ESXi.
I certificati Trusted_Root e la MACHINE_SSL_CERT del sistema vCenter Server sono validi e non sono scaduti. Vedere l'articolo della Knowledge base di VMware all'indirizzo https://kb.vmware.com/s/article/2111411.
Gli host ESXi seguenti non sono in modalità di manutenzione.

Nota: Se si utilizzano certificati personalizzati ed è necessario rinnovarli, importarli nuovamente.

Procedura

Passare all'host nell'inventario di vSphere Client.
Fare clic su Configura.
In Sistema, fare clic su Certificato.
È possibile visualizzare i dettagli relativi al certificato dell'host selezionato.

Selezionare l'opzione appropriata in base al tipo di certificato utilizzato.

Opzione	Descrizione
Gestisci con VMCA > Rinnova	Recupera un nuovo certificato firmato per l'host da VMCA.
Gestisci con VMCA > Aggiorna certificati CA o Gestisci con CA esterna > Aggiorna certificati CA	Esegue il push di tutti i certificati presenti nell'archivio TRUSTED_ROOTS nell'archivio vCenter Server VECS dell'host.

Opzione

Descrizione

Gestisci con VMCA > Rinnova

Recupera un nuovo certificato firmato per l'host da VMCA.

Gestisci con VMCA > Aggiorna certificati CA

Gestisci con CA esterna > Aggiorna certificati CA

Esegue il push di tutti i certificati presenti nell'archivio TRUSTED_ROOTS nell'archivio vCenter Server VECS dell'host.