Remplacer le certificat de serveur TLS/SSL par défaut pour Access Point

Pour stocker un certificat de serveur TLS/SSL signé par une autorité de certification approuvée sur le dispositif Access Point, vous devez convertir le certificat au bon format et utiliser des scripts PowerShell ou l'API REST Access Point pour configurer le certificat.

Pour les environnements de production, VMware vous recommande fortement de remplacer le certificat par défaut dès que possible. Le certificat de serveur TLS/SSL par défaut qui est généré lorsque vous déployez un dispositif Access Point n'est pas signé par une autorité de certification approuvée.

Important : Utilisez également cette procédure pour remplacer périodiquement un certificat qui a été signé par une autorité de certification approuvée avant que le certificat expire, ce qui peut se produire tous les deux ans.

Cette procédure décrit comment utiliser l'API REST pour remplacer le certificat. Une méthode plus facile consiste à utiliser les scripts PowerShell joints à l'article de blog « Using PowerShell to Deploy VMware Access Point » (Utilisation de PowerShell pour déployer VMware Access Point) disponible sur la page https://communities.vmware.com/docs/DOC-30835. Si vous avez déjà déployé le dispositif Access Point nommé, exécuter de nouveau le script mettra le dispositif hors tension, le supprimera et le redéploiera avec les paramètres actuels que vous spécifiez.

Conditions préalables

Sauf si vous disposez déjà d'un certificat de serveur TLS/SSL valide et de sa clé privée, obtenez un nouveau certificat signé auprès d'une autorité de certification. Lorsque vous générez une demande de signature de certificat (CSR) pour obtenir un certificat, vérifiez qu'une clé privée est également générée. Ne générez pas de certificats pour des serveurs à l'aide d'une valeur KeyLength inférieure à 1 024.
Pour générer la CSR, vous devez connaître le nom de domaine complet (FQDN) que les périphériques client utiliseront pour se connecter au dispositif Access Point, ainsi que l'unité d'organisation, l'entreprise, la ville, l'état et le pays pour remplir le nom de l'objet.
Convertissez le certificat en fichiers au format PEM et convertissez les fichiers .pem au format sur une seule ligne. Reportez-vous à la section Convertir des fichiers de certificat au format PEM sur une ligne.
Familiarisez-vous avec l'API REST Access Point. La spécification de cette API est disponible à l'adresse suivante sur la machine virtuelle sur laquelle Access Point est installé : https://access-point-appliance.example.com:9443/rest/swagger.yaml.

Procédure

Créez une demande JSON pour soumettre le certificat au dispositif Access Point.
```
{
  "privateKeyPem": "string",
  "certChainPem": "string"
}
```
Dans cet exemple, les valeurs string sont les valeurs PEM sur une seule ligne JSON que vous avez créées comme décrit dans les conditions préalables.
Utilisez un client REST, tel que curl ou postman, pour utiliser la demande JSON afin d'appeler l'API REST Access Point et stocker le certificat et la clé sur le dispositif Access Point.
L'exemple suivant utilise une commande curl. Dans l'exemple, access-point-appliance.example.com est le nom de domaine complet du dispositif Access Point et cert.json est la demande JSON que vous avez créée à l'étape précédente.
```
curl -k -d @- -u 'admin' -H "Content-Type: application/json" -X PUT https://access-point-appliance.example.com:9443/rest/v1/config/certs/ssl < ~/cert.json
```

Que faire ensuite

Si l'autorité de certification qui a signé le certificat n'est pas reconnue, configurez les clients pour qu'ils approuvent les certificats racine et intermédiaires.