Vous pouvez effectuer différents types de remplacement de certificats selon la stratégie et les besoins de l'entreprise pour le système que vous configurez. Vous pouvez effectuer chaque remplacement avec l'utilitaire vSphere Certificate Manager ou manuellement à l'aide des interfaces de ligne de commande incluses avec votre installation.

VMCA est inclus dans chaque Platform Services Controller et dans chaque déploiement intégré. VMCA provisionne chaque nœud, chaque utilisateur de solutions vCenter Server et chaque hôte ESXi avec un certificat qui est signé par VMCA comme autorité de certification. Les utilisateurs de solution vCenter Server sont des groupes de services vCenter Server. Pour consulter une liste d'utilisateurs de solutions, reportez-vous à Sécurité vSphere.

Vous pouvez remplacer les certificats par défaut. Pour les composants de vCenter Server, vous pouvez utiliser un ensemble d'outils de ligne de commande inclus dans votre installation. Vous avez plusieurs options.

Pour obtenir des détails sur les workflows de remplacement et sur l'utilitaire vSphere Certificate Manager, reportez-vous au document Sécurité vSphere.

Remplacer par des certificats signés par VMCA

Si votre certificat VMCA expire ou si vous souhaitez le remplacer pour d'autres raisons, vous pouvez utiliser les interfaces de ligne de commande de gestion de certificats pour effectuer ce processus. Par défaut, le certificat racine VMCA expire après dix ans, tous les certificats signés par VMCA expirent au moment de l'expiration du certificat racine, c'est-à-dire au terme d'une période maximale de dix ans.

Figure 1. Les certificats signés par VMCA sont stockés dans VECS
En mode par défaut, VMCA provisionne des certificats signés par VMCA

Faire de VMCA une autorité de certificat intermédiaire

Vous pouvez remplacer le certificat racine VMCA par un certificat qui est signé par une autorité de certification d'entreprise ou une autorité de certification tierce. VMCA signe le certificat racine personnalisé chaque fois qu'il provisionne des certificats, ce qui en fait une autorité de certification intermédiaire.

Remarque :

Si vous effectuez une nouvelle installation qui inclut un Platform Services Controller externe, installez d'abord le Platform Services Controller et remplacez le certificat racine VMCA. Installez ensuite d'autres services ou ajoutez des hôtes ESXi à votre environnement. Si vous effectuez une nouvelle installation avec un Platform Services Controller intégré, remplacez le certificat racine VMCA avant d'ajouter des hôtes ESXi. Dans ce cas, tous les certificats sont signés par l'intégralité de la chaîne et vous n'avez pas à générer de nouveaux certificats.

Figure 2. Les certificats signés par une autorité de certification tierce ou d'entreprise utilisent VMCA comme autorité de certification intermédiaire
Le certificat VMCA est inclus comme certificat intermédiaire. Le certificat racine est signé par une autorité de certification tierce.

Ne pas utiliser VMCA, provisionner avec des certificats personnalisés

Vous pouvez remplacer les certificats signés par VMCA existants par des certificats personnalisés. Si vous utilisez cette approche, vous êtes responsable de l'intégralité du provisionnement et de la surveillance des certificats.

Figure 3. Les certificats externes sont stockés directement dans VECS
Les certificats externes sont stockés directement dans VECS. VMCA n'est pas utilisé.

Déploiement hybride

Vous pouvez demander à VMCA de fournir une partie des certificats, mais utiliser des certificats personnalisés pour d'autres parties de votre infrastructure. Par exemple, comme les certificats d'utilisateur de solution sont utilisés uniquement pour s'authentifier auprès de vCenter Single Sign-On, envisagez de demander à VMCA de provisionner ces certificats. Remplacez les certificats SSL machine par des certificats personnalisés pour sécuriser tout le trafic SSL.

Remplacement des certificats ESXi

Pour les hôtes ESXi, vous pouvez modifier le comportement de provisionnement de certificats à partir de vSphere Web Client.

Mode d'autorité de certification VMware (par défaut)

Lorsque vous renouvelez des certificats à partir de vSphere Web Client, VMCA émet les certificats pour les hôtes. Si vous modifiez le certificat racine VMCA de manière à inclure une chaîne de certificats, les certificats hôtes incluent la chaîne complète.

Mode d'autorité de certification personnalisée

Vous permet de manuellement mettre à jour et d'utiliser des certificats qui ne sont pas signés ou émis par VMCA.

Mode d'empreinte

Peut être utilisé pour conserver les certificats 5.5 pendant l'actualisation. Utilisez ce mode uniquement temporairement dans des situations de débogage.