Asegurar tu vCenter Server (VCSA) con un certificado SSL auténtico es un paso crucial para mantener un entorno de virtualización robusto. Por defecto, vCenter utiliza certificados autofirmados, lo que provoca advertencias de seguridad molestas y potencialmente peligrosas en los navegadores. Reemplazar esto con un certificado firmado por tu propia Autoridad de Certificación (CA) Interna no solo elimina estas advertencias, sino que asegura que toda la comunicación dentro de tu plano de administración esté encriptada y sea confiada de forma nativa por los dispositivos de tu dominio.
1. Solicitar un Nuevo CSR
Comienza navegando a la sección de Administración de Certificados de tu vCenter Server. Genera una nueva Solicitud de Firma de Certificado (CSR).
Asegúrate de agregar el Nombre Alternativo del Sujeto (SAN) correcto para que el certificado sea válido para el FQDN y la dirección IP.
Descarga el archivo CSR generado a tu equipo local.
2. Emitir el Certificado desde la CA Interna
Abre el portal web de tu Autoridad de Certificación Interna de Microsoft:
http://mxlitca01/certsrv/
Haz clic en Solicitar un certificado (Request a certificate).
Selecciona Solicitud de certificado avanzada (Advanced certificate request).
Abre el archivo CSR descargado con un editor de texto, copia su contenido y pégalo en el campo de solicitud de certificado codificado en Base-64. Asegúrate de seleccionar la plantilla de certificado de Servidor Web (Web Server).
Una vez emitido, descarga el nuevo certificado generado. Asegúrate de seleccionar la opción de Base 64 encoded.
3. Descargar la Cadena de Certificados de la CA
Regresa al inicio del portal web de la CA y haz clic en Descargar un certificado de CA, cadena de certificados o CRL (Download a CA certificate, certificate chain…).
Selecciona Base 64 y haz clic en Descargar certificado de CA (Download CA certificate).
4. Instalar el Certificado en vCenter
Regresa a la página de Administración de Certificados de vCenter donde generaste el CSR. Selecciona la opción para reemplazar el certificado usando el CSR generado previamente.
Sube el certificado de máquina que recibiste de la CA, junto con la cadena del certificado raíz de la CA.
Importante: Abre tus archivos de certificados en un editor de texto y asegúrate de que no haya espacios adicionales ni líneas en blanco después de
-----END CERTIFICATE-----.
Los servicios de vCenter Server ahora necesitarán ser reiniciados para aplicar el nuevo certificado.
Una vez que los servicios estén nuevamente en línea, tu vCenter mostrará una conexión SSL válida, completamente confiable y firmada por tu CA Interna.
Conclusión
Implementar un certificado SSL de confianza emitido por tu CA interna en vCenter mejora drásticamente tu postura de cumplimiento normativo y la experiencia de usuario para los administradores. Elimina las advertencias diarias de los navegadores y asegura que las llamadas a la API desde herramientas externas (como respaldos, sistemas de monitoreo y scripts de automatización) puedan conectarse de manera segura y sin interrupciones, sin requerir omisiones manuales de certificados. Mantén tu infraestructura de CA de forma segura y recuerda monitorear las fechas de expiración de los certificados para evitar fallos inesperados en los servicios.