Aggiornamento di Dell VxRail con certificati personalizzati (correggibile dal cliente)
Summary: Guida dettagliata alla sostituzione con certificati del cliente per gli ambienti Dell VxRail. vSphere garantisce la sicurezza utilizzando certificati per crittografare le comunicazioni, autenticare i servizi e firmare i token. ...
Instructions
vSphere utilizza i certificati per:
- Crittografare le comunicazioni tra due nodi, ad esempio vCenter Server e un host ESXi.
- Autenticare i servizi vSphere.
- Eseguire azioni interne, ad esempio token per le firme.
La CA interna di vSphere, VMware Certificate Authority (VMCA), fornisce tutti i certificati necessari per vCenter Server ed ESXi. VMCA viene installato su ogni Platform Services Controller, proteggendo immediatamente la soluzione senza altre modifiche. Mantenendo questa configurazione predefinita, si ottiene l'overhead operativo più basso per la gestione dei certificati. vSphere fornisce un meccanismo per rinnovare questi certificati in caso di scadenza.
vSphere fornisce inoltre un meccanismo per sostituire determinati certificati con i propri certificati. Tuttavia, si consiglia di sostituire solo il certificato SSL che fornisce la crittografia tra i nodi, per mantenere basso il sovraccarico di gestione dei certificati.
Integrazione dei certificati personalizzati
L'ambiente vSphere è flessibile per offrire ai clienti l'opportunità di lavorare con certificati SSL personalizzati, in quanto le policy aziendali a volte lo impongono. La procedura riportata di seguito illustra come modificare i certificati per vari componenti in un ambiente VxRail.
- Sostituzione del certificato autofirmato di VxRail Manager
- Questa procedura è accessibile sul portale SolVe Online. Accedere a 'How To' Procedures > 'How To' Change other VxRail Cluster settings > Scegliere la versione VxRail Manager corrente > Replace the VxRail Manager SSL Certificate, quindi generare la procedura. Se non si dispone dell'accesso al portale, contattare il Supporto Dell. Per indicazioni sulla creazione della richiesta di firma del certificato e sulla modifica dei file del certificato ricevuto, consultare l'articolo della Knowledge Base VxRail: Come richiedere un nuovo certificato per VxRail Manager.
- Sostituzione dei certificati vCenter Server utilizzando un certificato firmato da un'autorità di certificazione (CA) personalizzata
- Seguire la guida disponibile in VMware: Generare richieste di firma dei certificati con vSphere Certificate Manager (Certificati personalizzati) (in inglese)
.
- Per una panoramica più dettagliata sul processo di sostituzione dei certificati tramite Certificate Manager, consultare l'articolo della KB VMware: Sostituire un certificato SSL vSphere 6.x /7.x Machine con un certificato firmato da un'autorità di certificazione personalizzata (2112277) (in inglese)
- Per illustrare come generare un certificato con firma personalizzata utilizzando PSC, consultare l'articolo della Knowledge Base Dell VxRail: Come generare CSR (richiesta di firma del certificato) e chiavi private su PSC.
- Seguire la guida disponibile in VMware: Generare richieste di firma dei certificati con vSphere Certificate Manager (Certificati personalizzati) (in inglese)
- Ristabilire manualmente l'attendibilità tra VxRail Manager e vCenter Server dopo l'integrazione del certificato personalizzato
- Dopo la sostituzione dei certificati di vCenter Server, i nuovi certificati devono essere aggiornati manualmente sulla VM di VxRail Manager per ristabilire l'attendibilità tra le due entità. A tal fine, seguire l'articolo della KB Base VxRail: Come importare manualmente il certificato SSL vCenter su VxRail Manager.
- Sostituzione dei certificati SSL dell'host ESXi
- I requisiti per le richieste di firma dei certificati ESXi sono disponibili in Vmware all'indirizzo https://docs.vmware.com/en/VMware-vSphere/6.7/com.vmware.vsphere.security.doc/GUID-0AE0B563-59D6-45A5-BF46-6FE68607687B.html
- Per passare all'utilizzo di certificati personalizzati sugli host ESXi in un ambiente vSAN, consultare l'articolo della KB VMware Aggiungere un certificato personalizzato sugli host ESXi tramite CLI (56441) (in inglese)
- I requisiti per le richieste di firma dei certificati ESXi sono disponibili in Vmware all'indirizzo https://docs.vmware.com/en/VMware-vSphere/6.7/com.vmware.vsphere.security.doc/GUID-0AE0B563-59D6-45A5-BF46-6FE68607687B.html
- Sostituzione dei certificati vRealize Log Insight
- Seguire la guida disponibile all'indirizzo https://docs.vmware.com/en/vRealize-Log-Insight/4.5/com.vmware.log-insight.administration.doc/GUID-93E0A9FA-9C72-47AE-9E54-9982F4604FE1.html
- Seguire la guida disponibile all'indirizzo https://docs.vmware.com/en/vRealize-Log-Insight/4.5/com.vmware.log-insight.administration.doc/GUID-93E0A9FA-9C72-47AE-9E54-9982F4604FE1.html
Nota: La generazione di richieste di firma dei certificati (CSR) utilizzando strumenti di terze parti o la loro firma utilizzando la CA interna dell'azienda non è supportata dal Supporto Dell.
Se si verificano problemi durante la sostituzione del certificato, contattare il Supporto Dell per assistenza.
Additional Information
Risorse correlate:
Di seguito sono riportati alcuni articoli consigliati correlati a questo argomento che potrebbero essere di interesse:
Di seguito sono riportati alcuni articoli consigliati correlati a questo argomento che potrebbero essere di interesse: