ESXi utilise des certificats générés automatiquement, créés lors du processus d'installation. Ces certificats sont uniques et permettent de commencer à utiliser le serveur, mais ils ne sont pas vérifiables et ne sont pas signés par une autorité de certification (CA) de confiance. Cette rubrique explique comment remplacer les certificats par défaut par des certificats auto-signés ou signés par une autorité de certification.

Avant de commencer

  • Si vous souhaitez utiliser des certificats signés par une autorité de certification, générez la demande de certificat, envoyez-la à l'autorité de certification et stockez les certificats que vous recevez dans un emplacement accessible par l'hôte.

  • Si nécessaire, activez ESXi Shell ou activez le trafic SSH dans vSphere Web Client. Reportez-vous à la section Utiliser vSphere Web Client pour activer l'accès à ESXi Shell.

  • Tous les transferts de fichiers et autres communications se produisent lors d'une session HTTPS sécurisée. L'utilisateur servant à authentifier la session doit disposer du privilège Hôte > Config > AdvancedConfig sur l'hôte. Pour plus d'informations sur les privilèges ESXi, reportez-vous à la publication Gestion d'un hôte vSphere unique.

Pourquoi et quand exécuter cette tâche

L'utilisation de certificats par défaut n'est peut-être pas conforme aux règles de sécurité de votre organisation. Si vous avez besoin d'un certificat d'une autorité de certification approuvée, vous pouvez remplacer le certificat par défaut.

Remarque :

Si l'option Vérifier les certificats est activée dans l'hôte, le remplacement du certificat par défaut peut provoquer l'arrêt de la gestion de l'hôte par vCenter Server. Déconnectez et reconnectez l'hôte si vCenter Server ne peut pas vérifier le nouveau certificat.

ESXi prend en charge uniquement les certificats X.509 pour chiffrer les informations de session envoyées sur les connexions SSL entre les composants du serveur et du client.

Procédure

  1. Connectez-vous à ESXi Shell, directement à partir de l'interface utilisateur de la console directe (DCUI) ou à partir d'un client SSH, en tant qu'utilisateur disposant de privilèges d'administrateur.
  2. Dans l'inventaire /etc/vmware/ssl, renommer les certificats existants à l'aide des commandes suivantes :

    mv rui.crt orig.rui.crt
    mv rui.key orig.rui.key

  3. Copiez les certificats à utiliser dans /etc/vmware/ssl.
  4. Renommer le nouveau certificat et la clé dans rui.crt et rui.key.
  5. Redémarrez l'hôte après avoir installé le nouveau certificat.

    Vous pouvez également mettre l'hôte en mode de maintenance, installer le nouveau certificat, utiliser l'interface utilisateur de console directe (DCUI) pour redémarrer les agents de gestion, puis configurer l'hôte pour quitter le mode de maintenance.