La première étape du remplacement des certificats VMCA par des certificats personnalisés consiste à générer un CSR et à ajouter le certificat qui est renvoyé au VMCA en tant que certificat racine.

Pourquoi et quand exécuter cette tâche

Le certificat que vous envoyez pour être signé doit répondre aux exigences suivantes :

  • Taille de clé : 2 048 bits ou plus

  • Format PEM. VMware prend en charge PKCS8 et PKCS1 (clés RSA). Lorsque des clés sont ajoutées à VECS, elles sont converties en PKCS8

  • x509 version 3

  • Si vous utilisez des certificats personnalisés, l'extension d'autorité de certification doit être définie sur vrai, pour les certificats racine, et la signature de certification doit figurer dans la liste de conditions requises.

  • La signature CRL doit être activée.

  • L’utilisation avancée de la clé ne doit impliquer ni authentification client ni authentification serveur.

  • Aucune limite explicite à la longueur de la chaîne de certificats. VMCA utilise la valeur par défaut OpenSSL, qui est 10 certificats.

  • Les certificats incluant des caractères génériques ou plusieurs noms DNS ne sont pas pris en charge.

  • Vous ne pouvez pas créer d'autorités de certification filiales de VMCA.

    Reportez-vous à l'article 2112009 de la base de connaissances de VMware, Creating a Microsoft Certificate Authority Template for SSL certificate creation in vSphere 6.0, pour consulter un exemple d'utilisation de l'autorité de certification Microsoft.

VMCA valide les attributs suivants du certificat lorsque vous remplacez le certificat racine :

  • Taille de clé de 2 048 bits ou plus

  • Utilisation de la clé : Signature de certification

  • Contrainte de base : Autorité de certification du type de sujet

Procédure

  1. Générez une demande de signature de certificat et envoyez-la à votre autorité de certification.

    Suivez les instructions de votre autorité de certification.

  2. Préparez un fichier de certificat qui inclut le certificat VMCA signé ainsi que la chaîne complète de l'autorité de certification de votre autorité de certification tierce ou de votre autorité de certification d'entreprise, et enregistrez le fichier, par exemple sous le nom rootca1.crt.

    Vous pouvez le faire en copiant tous les certificats de l'autorité de certification au format PEM dans un fichier unique. Vous devez commencer par le certificat racine VMCA et terminer par le certificat racine CA PEM. Par exemple :

    -----BEGIN CERTIFICATE-----
    <Certificate of VMCA>
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    <Certificate of intermediary CA>
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    <Certificate of Root CA>
    -----END CERTIFICATE-----
  3. Arrêtez tous les services et démarrez ceux qui gèrent la création, la propagation et le stockage des certificats.

    Les noms de service diffèrent sur Windows et pour le vCenter Server Appliance.

    Windows

    service-control --stop --all
    service-control --start VMWareAfdService
    service-control --start VMWareDirectoryService
    service-control --start VMWareCertificateService
    

    vCenter Server Appliance

    service-control --stop --all
    service-control --start vmafdd
    service-control --start vmdird
    service-control --start vmcad
    
  4. Remplacez l'autorité de certification racine VMCA existante.
    certool --rootca --cert=rootca1.crt --privkey=root1.key

    Lorsque vous exécutez cette commande, elle :

    • Ajoute le nouveau certificat racine personnalisé à l'emplacement des certificats dans le système de fichiers.

    • Ajoute le certificat racine personnalisé au magasin TRUSTED_ROOTS dans VECS (après un délai).

    • Ajoute le certificat racine personnalisé à vmdir (après un délai).

  5. (Facultatif) : Pour propager le changement à toutes les instances de vmdir (service d'annuaire VMware), publiez le nouveau certificat racine dans vmdir, en fournissant le chemin complet de chaque fichier.

    Par exemple :

    dir-cli trustedcert publish --cert rootca1.crt

    La réplication entre les nœuds vmdir se produit toutes les 30 secondes. Il n'est pas nécessaire d'ajouter le certificat racine à VECS de façon explicite, car VECS interroge vmdir concernant les fichiers de certificat racine toutes les 5 minutes.

  6. (Facultatif) : Le cas échéant, vous pouvez forcer une opération d'actualisation de VECS.
    vecs-cli force-refresh
  7. Redémarrez tous les services.
    service-control --start --all
    

Remplacement du certificat racine

Remplacez le certificat racine VMCA par le certificat racine VMCA personnalisé en utilisant la commande certool avec l'option --rootca.

C:\>"C:\Program Files\VMware\vCenter Server\vmcad\certool" --rootca --cert=C:\custom-certs\root.pem -–privkey=C:\custom-certs\root.key

Lorsque vous exécutez cette commande, elle :

  • Ajoute le nouveau certificat racine personnalisé à l'emplacement des certificats dans le système de fichiers.

  • Ajoute le certificat racine personnalisé au magasin TRUSTED_ROOTS dans VECS.

  • Ajoute le certificat racine personnalisé à vmdir.

Que faire ensuite

Vous pouvez supprimer le certificat racine VMCA initial du magasin de certificats si la stratégie de l'entreprise l'exige. Si vous le faites, vous devez actualiser ces certificats internes :