Este artigo orienta você na configuração dos certificados da Autoridade de Certificação (CA) para um host ESXi 6.x / 7.0. Este artigo é baseado no KB oficial da VMware (2113926).
Este artigo ajuda a substituir o certificado ESXi. Para obter mais informações, consulte Atualizações e certificados de host no guia vSphere Security.
Planejamento
- Substituir o certificado personalizado do ESXi SSL
- Adicionar / instalar / alterar e gerar o certificado do host ESXi
- Importar e substituir o certificado do certificado personalizado do ESXi
Nota: Antes de executar as etapas deste artigo, consulte Criando um Modelo de Autoridade de Certificação Microsoft para a criação de um certificado SSL no vSphere 6.x / 7.0.
GERANDO UM PEDIDO DE CERTIFICADO
Gerar uma solicitação de certificado para um host ESXi 6.x / 7.0.
- Instale o aplicativo OpenSSL-Win32 ou OpenSSL-Win64.
- Execute o comando abaixo e preencha o que for solicitado:
openssl req -new -nodes -out rui.csr -keyout rui-orig.key -config openssl.cfg

Verifique se a solicitação do certificado rui.csr foi criado.

Converta a chave para estar no formato RSA, executando o seguinte comando no arquivo rui.key:
openssl rsa -in rui-orig.key -out rui.key

Depois que a solicitação de certificado é criada, o certificado deve ser entregue à autoridade de certificação para geração do certificado real.
OBTENDO OS CERTIFICADOS
Faça logon na interface da web da autoridade de certificação da Microsoft CA. Por padrão, é http://servername/CertSrv/. Click Request a Certificate.

Em Request a Certificate, clique em advanced certificate request.

Obtendo chave do arquivo rui.csr anteriormente criado.

Submit a certificate request or renewal request.

Salve o certificado na área de trabalho do servidor como rui.crt

INSTALANDO E CONFIGURANDO O CERTIFICADO NO ESXI HOST
Efetue login no host com o WinSCP e navegue até o diretório /etc/vmware/ssl. Faça o backup do rui.crt e rui.key.

Localize os arquivos rui.csr e rui.key anteriormente criados.

Exclua os arquivos rui.crt e rui.key existentes do diretório /etc/vmware/ssl/ do host esxi.

Copie o rui.crt e o rui.key recém-criados para o diretório /etc/vmwar /ssl /.

Reiniciando agentes do host.

Verificando certificado emitido pela autoridade certificadora virtualizandoajucert.


CONCLUSÃO
Criar certificados atribuídos pela CA para um host ESXi 6.x / 7.0 é uma tarefa complexa. Em muitas organizações, é necessário manter a segurança adequada para os requisitos regulamentares. Cada servidor deve ser exclusivo do componente, pois está vinculado ao nome de domínio totalmente qualificado do servidor. Como tal, você não pode simplesmente pegar um único certificado e aplicá-lo a todos os hosts. Atualmente, os certificados curinga ESXI não são suportados, mas mesmo se fossem, é muito mais seguro ter um certificado adequado para cada host.
“Nunca se compare com ninguém neste mundo. Caso o faça, entenda que você estará insultando a si mesmo.”
Bill Gates