Pour les composants principaux de vCenter, vous pouvez générer des demandes de certificats et remplacer les certificats par défaut par des certificats auto-signés ou des certificats signés par une autorité de certification à l'aide de l'outil d'automatisation des certificats. Vous pouvez également générer des demandes, créer des certificats et en remplacer à partir de la ligne de commande sans avoir recours à l'outil.

Où trouver des informations ?

La manière dont vous souhaitez remplacer les certificats détermine l'emplacement dans lequel vous pouvez trouver des informations. Vous pouvez effectuer le remplacement des certificats de plusieurs manières.

  • Utilisez l'outil de remplacement des certificats dans votre environnement Windows, comme indiqué dans le présent document.

  • Remplacez explicitement les certificats sous Windows, comme expliqué dans l'article 2058519 de la base de connaissances VMware.

  • Remplacez les certificats sur vCenter Server Appliance, comme expliqué dans l'article 2057223 de la base de connaissances VMware.

Si vous souhaitez utiliser des certificats signés par une autorité de certification, vous devez générer une demande de certificat (CSR) pour chaque composant. Vous pouvez utiliser l'outil pour générer les demandes de certificats. Pour obtenir la liste des exigences en matière de certificats, reportez-vous à Préparation de votre environnement.

Présentation de l'outil de remplacement de certificats

L'outil d'automatisation des certificats est un outil de ligne de commande qui vous permet de remplacer les certificats des principaux composants vCenter répertoriés ci-dessous. Dans la plupart des cas, vous remplacez les certificats par défaut par des certificats personnalisés. Vous utilisez l'outil après avoir installé tous les composants de vCenter. Si vous ajoutez un nouveau composant à votre environnement vSphere, vous pouvez réexécuter l'outil afin d'effectuer un remplacement de certificats pour le nouveau composant. Lorsque vous exécutez l'outil sur un composant de vCenter tel que le système vCenter Server ou le serveur vCenter Single Sign-On, il exécute les tâches suivantes.

  • Il vous invite à fournir l'entrée requise.

  • Il valide l'entrée (certificat x.509 et formats d'URL).

  • Il met à jour le certificat SSL d'un composant et les entrées LookupService correspondantes des services qui sont exposés par les composants, si nécessaire.

  • Il redémarre le service correspondant, si nécessaire.

  • Il met à jour l'approbation du composant dans tous les autres composants auxquels il se connecte. Il redémarre le composant, si nécessaire.

  • Il indique à l'utilisateur les opérations suivantes à effectuer, le cas échéant.

Remarque :

Le remplacement des certificats avec l'outil a été testé avec vCenter Single Sign-On, vCenter Inventory Service, vCenter Server, vSphere Web Client, vSphere Update Manager, vCenter Log Browser et vCenter Orchestrator. Si vous devez effectuer un remplacement de certificats avec un autre composant vSphere, reportez-vous aux instructions correspondantes dans la documentation VMware ou la base de connaissances VMware. Dans le cadre de cette procédure, il peut s'avérer nécessaire de mettre à jour des certificats sur l'un des composants pris en charge.

L'outil prend en charge les composants de vCenter suivants :

  • vCenter Single Sign On

  • vCenter Inventory Service

  • vCenter Server

  • Client Web vSphere

  • vSphere Update Manager

  • vCenter Log Browser

  • vCenter Orchestrator

Chaque composant doit disposer d'un certificat SSL et d'un certificat d'utilisateur de solution. La plupart des composants utilisent le même certificat dans les deux cas. Sous Windows, comme les certificats d'utilisateur de solution doivent être uniques, un certificat SSL unique est requis pour chaque composant.

Mises à niveau

Si vous remplacez les certificats par défaut dans vSphere version 5.0 ou version 5.1, et que vous procédez à une mise à niveau vers vSphere version 5.5, les certificats sont migrés. Si vous effectuez une mise à niveau et que vous souhaitez remplacer les certificats par défaut, vous pouvez exécuter l'outil d'automatisation des certificats après la mise à niveau.