Recuperación de certificados vCenter con vCert

Aprende a usar vCert para recuperar certificados vCenter sin riesgos. Guía paso a paso con validación y snapshots. ¡Evita errores críticos!

3 jul 2026 • 5 min read • Q2BSTUDIO Team

Procedimiento seguro para restaurar certificados vCenter

En entornos empresariales donde la infraestructura virtualizada sostiene procesos críticos, los problemas con los certificados de vCenter suelen manifestarse en el peor momento posible: durante una ventana de mantenimiento programada, al ejecutar una actualización, o cuando los servicios simplemente se niegan a arrancar. La tentación de resolverlo con un clic es grande, pero la experiencia demuestra que la recuperación de certificados requiere un enfoque metódico. En lugar de actuar por impulso, conviene tratarlo como un flujo de trabajo controlado: definir el alcance del problema, proteger un punto de restauración válido, comprender la topología del dominio SSO, identificar exactamente qué objeto de certificado está dañado y, solo entonces, aplicar el cambio más pequeño y seguro posible. Ese es el espíritu que guía el uso de vCert, la herramienta de línea de comandos que Broadcom proporciona para la gestión de certificados en vCenter Server 7.0, 8.0 y 9.0. Sin embargo, operar vCert sin una estrategia previa puede dejar el sistema inoperable. De ahí la importancia de contar con un runbook práctico, como el que aquí se describe, que permite navegar entre menús sin suposiciones.

La gestión de certificados en vCenter no es un asunto aislado del navegador web. Un certificado caducado puede afectar al arranque de servicios, a los anclajes de confianza de Lookup Service, a los Solution Users, a la firma STS, a los almacenes VECS y a la relación de confianza con SDDC Manager. Por eso, un síntoma que parece un simple error de interfaz puede convertirse en un problema de identidad o de plano de gestión. Operativamente, la clave está en clasificar el síntoma antes de elegir una ruta de reparación. No es lo mismo un certificado Machine SSL caducado que una raíz VMCA expirada, una entrada TRUSTED_ROOTS obsoleta o un desajuste en STS. Cada escenario exige una recuperación específica dentro del menú de vCert.

Para abordar esta complejidad, muchas organizaciones complementan sus capacidades internas con el apoyo de socios tecnológicos especializados. Por ejemplo, Q2BSTUDIO ofrece servicios de software a medida que permiten automatizar flujos de gestión de infraestructura, integrando validaciones de certificados y orquestación de recuperaciones con scripts personalizados. Además, sus prácticas en ciberseguridad ayudan a las empresas a establecer políticas de renovación de certificados y monitorización continua, evitando que un vencimiento se convierta en una emergencia. La inteligencia artificial y los agentes IA también tienen cabida aquí: mediante modelos predictivos es posible anticipar caducidades y recomendar acciones antes de que los servicios fallen. Asimismo, la inteligencia de negocio (Power BI) puede visualizar el estado de todos los certificados de vCenter en paneles ejecutivos, mientras que los servicios cloud AWS y Azure ofrecen infraestructura escalable para alojar copias de seguridad o entornos de prueba donde ensayar la recuperación.

Antes de ejecutar cualquier cambio en vCert, el flujo de recuperación debe comenzar con tres pasos obligatorios. Primero, comprobar la compatibilidad: descargar siempre la versión actual del paquete desde la KB de Broadcom y validar su hash, sin reutilizar copias antiguas. Segundo, establecer un punto de restauración fiable: para vCenter independiente, una instantánea apagada o una copia de seguridad basada en archivos; para entornos Enhanced Linked Mode (ELM), es crítico tomar instantáneas de todos los nodos VCSA del dominio SSO de forma simultánea y offline, ya que revertir un solo nodo puede romper la replicación del directorio. Tercero, identificar la pertenencia al dominio SSO y el estado de replicación mediante comandos como dir-cli state get o vdcrepadmin -f showservers. En entornos VMware Cloud Foundation (VCF), hay que incluir a SDDC Manager en el modelo de riesgo: antes de tocar el almacén de confianza del vCenter, tomar instantánea apagada del appliance SDDC Manager.

Una vez cumplidas las precondiciones, se instala y arranca vCert limpio. La herramienta ofrece un menú interactivo que comienza con un aviso de riesgo —no se debe pasar por alto— y registra toda la actividad en /var/log/vmware/vCert/vCert.log. Lo recomendable es usar primero las opciones de solo lectura: el informe de estado (opción 1) y el reporte de certificados (opción 7). Esta fase de descubrimiento revela no solo expiraciones, sino también problemas de algoritmo de firma, cadenas de CA incompletas, desajustes de Solution User, o entradas obsoletas en TRUSTED_ROOTS. Con esa información, se elige la ruta de remediación más pequeña y segura. Por ejemplo, si el problema es un certificado Machine SSL caducado y la raíz VMCA sigue siendo válida, se usa la opción 3 -> opción 1. Si es el certificado de firma STS en un entorno ELM, se reemplaza en un nodo y luego se reinician servicios en todos los nodos. Si la raíz VMCA ha expirado, se utiliza la opción 3 -> opción 9 para regenerar VMCA y reemitir todos los certificados dependientes. Para eliminar entradas caducadas de TRUSTED_ROOTS, se accede a la opción 3 -> opción específica para CA en VMware Directory. En VCF, tras cualquier cambio en vCenter, se debe verificar la confianza con SDDC Manager mediante importación del nuevo certificado raíz en el almacén correspondiente.

La validación posterior debe ser multicapa: repetir la comprobación de fechas en VECS, generar un nuevo reporte de vCert y archivarlo, verificar que todos los servicios arrancan correctamente (service-control --status --all) y revisar logs como vmon.log en busca de errores de verificación SSL. Si la recuperación falla, el proceso de reversión depende de la topología: en vCenter independiente se restaura la instantánea; en ELM, se restauran todos los nodos al mismo estado consistente; en VCF, se debe revisar también el estado de confianza de SDDC Manager. Y si el síntoma no coincide con el certificado que se va a reemplazar, o si no hay un punto de restauración claro, lo mejor es detenerse y escalar al soporte oficial.

En resumen, vCert es una herramienta potente cuando se utiliza dentro de un flujo operativo disciplinado. Pero ningún menú sustituye a una buena planificación: definir el alcance, tomar instantáneas correctas, descubrir antes de cambiar, aplicar la mínima reparación válida y validar en todos los planos (ELM, VCF, servicios). La integración de servicios profesionales, como los que ofrece Q2BSTUDIO en aplicaciones a medida, ia para empresas y servicios inteligencia de negocio, puede marcar la diferencia entre una recuperación caótica y un proceso automatizado y seguro. Así se usa vCert sin incertidumbre.

A BREAK?

Play for a moment before you go

OUR SERVICES

How we can help you

Artificial intelligence

AI agents, chatbots, and intelligent assistants that automate tasks and serve your customers 24/7 to improve the efficiency of your business.

More info

Software Development

Web, mobile, and desktop applications, intranets, e-commerce, SaaS, and management platforms designed for your company's specific needs.

More info

Cloud services

Migration, infrastructure, managed hosting, high availability, and security on Microsoft Azure and Amazon Web Services to help your business scale without limits.

More info

Cybersecurity and pentesting

Security audits, penetration testing and protection of applications, data and infrastructure on-premise and cloud, with ethical hacking and regulatory compliance.

More info

Business Intelligence

Dashboards and data analysis with Power BI: we integrate your sources, design dashboards and KPIs and turn your data into decisions.

More info

Process automation

We automate repetitive tasks and connect your applications with n8n, Power Automate, Make, and RPA, eliminating manual work and increasing productivity.

More info

Training for Companies

We train your teams in technology with criteria: web development, databases, Git, best practices and security, automation with n8n, artificial intelligence for companies and creation of AI solutions with Azure AI Foundry.

More info

Code Auditing

We audit the code that you, your team or an AI create: we tell you what is good and what to improve, we secure it and make it ready for production, web or app.

More info

AI Image Generation

We create for you the images that your business needs with artificial intelligence: product, networks, advertising, illustration and avatars. You tell us what you want and we deliver it ready to use.

More info

AI Video Generation

We create videos with artificial intelligence for you: promotional, networking, virtual presenters, dubbing and animations. You tell us the idea and we will deliver it assembled and ready to publish.

More info

AI Conversational Avatars

We create conversational avatars with AI – digital humans with a face and voice – that serve your customers and teams with the knowledge of your company, on your website, interactive monitors, WhatsApp or Teams.

More info

Online Marketing and AI

Google Ads, Meta Ads, LinkedIn Ads and AI Engine Positioning (GEO/AEO): we attract customers and make your brand appear where they search for you, also on ChatGPT, Gemini and Perplexity.

More info

Do you have a project in mind?

Tell us your vision and we'll turn it into a software solution. Whatever the scope, we make your idea real.