Par défaut, le serveur Auto Deploy provisionne chaque hôte avec des certificats signés par VMCA. Vous pouvez configurer le serveur Auto Deploy de manière à provisionner tous les hôtes à l'aide de certificats personnalisés non signés par VMCA. Dans ce scénario, le serveur Auto Deploy devient une autorité de certification subordonnée de l'autorité de certification tierce.

Avant de commencer

  • Demandez un certificat de votre autorité de certification qui réponde aux conditions requises.

    • Taille de clé : 2 048 bits ou plus (codée au format PEM)

    • Format PEM. VMware prend en charge PKCS8 et PKCS1 (clés RSA). Lorsque des clés sont ajoutées à VECS, elles sont converties en PKCS8

    • x509 version 3

    • Pour les certificats racines, l'extension d'autorité de certification doit être définie sur vrai et la signature de certification doit figurer dans la liste de conditions requises.

    • SubjectAltName doit contenir DNS Name=<machine_FQDN>

    • Format CRT

    • Contient les utilisations de clé suivantes : signature numérique, non-répudiation, chiffrement de la clé

    • Heure de début antérieure d'un jour à l'heure actuelle

    • CN (et SubjectAltName) défini sur le nom de l'hôte (ou l'adresse IP) de l'hôte ESXi dans l'inventaire vCenter Server.

  • Nom du certificat et fichiers de clés rbd-ca.crt et rbd-ca.key.

Procédure

  1. Sauvegardez les certificats ESXi par défaut.

    Les certificats se situent à l'emplacement /etc/vmware-rbd/ssl/.

  2. Dans vSphere Web Client, arrêtez le service Auto Deploy.
    1. Sélectionnez Administration, puis cliquez sur Configuration système sous Déploiement.
    2. Cliquez sur Services.
    3. Cliquez avec le bouton droit sur le service que vous souhaitez arrêter et sélectionnez Arrêter.
  3. Sur le système qui exécute le service Auto Deploy, dans /etc/vmware-rbd/ssl/, remplacez rbd-ca.crt et rbd-ca.key par votre certificat personnalisé et votre fichier de clé.
  4. Sur le système qui exécute le service Auto Deploy, mettez à jour le magasin TRUSTED_ROOTS dans VECS pour utiliser vos nouveaux certificats.
    vecs-cli entry delete --store TRUSTED_ROOTS --alias
    				rbd_cert  
    vecs-cli entry create --store TRUSTED_ROOTS --alias
    				rbd_cert --cert /etc/vmware-rbd/ssl/rbd-ca.crt
    

    Windows

    C:\Program Files\VMware\vCenter Server\vmafdd\vecs-cli.exe

    Linux

    /usr/lib/vmware-vmafd/bin/vecs-cli

  5. Créez un fichier castore.pem contenant tout ce qui se trouve dans TRUSTED_ROOTS et placez-le dans le répertoire /etc/vmware-rbd/ssl/.

    En mode personnalisé, vous êtes responsable de la gestion de ce fichier.

  6. Définissez le mode de certificat du système vCenter Server sur Personnalisé.

    Reportez-vous à Changer le mode de certificat.

  7. Redémarrez le service vCenter Server et démarrez le service Auto Deploy.

Résultats

La prochaine fois que vous provisionnerez un hôte configuré pour utiliser Auto Deploy, le serveur Auto Deploy génèrera un certificat à l'aide du certificat racine que vous venez d'ajouter au magasin TRUSTED_ROOTS.