Dans vSphere 6.0 et version ultérieure, l'autorité de certification VMware (VMCA) provisionne votre environnement avec des certificats. Ceci inclut les certificats SSL de la machine pour les connexions sécurisées, les certificats d'utilisateurs de solutions pour l'authentification à vCenter Single Sign-On et les certificats pour les hôtes ESXi qui sont ajoutés à vCenter Server.

Les certificats suivants sont utilisés.

Tableau 1. Certificats dans vSphere 6.0

Certificat

Provisionné par

Stocké

Certificats ESXi

VMCA (par défaut)

Localement sur l'hôte ESXi

Certificats SSL de la machine

VMCA (par défaut)

VECS

Certificats d'utilisateurs de solutions

VMCA (par défaut)

VECS

Certificat de signature SSL vCenter Single Sign-On

Provisionné au cours de l'installation.

Gérez ce certificat dans vSphere Web Client.

Avertissement :

Ne modifiez pas ce certificat dans le système de fichiers pour éviter de provoquer des résultats imprévisibles.

Certificat SSL du service d'annuaire VMware (vmdir)

Provisionné au cours de l'installation.

Dans certains cas marginaux, il se peut que vous deviez remplacer ce certificat. Reportez-vous à Remplacer le certificat de service d'annuaire VMware.

ESXi

Les certificats ESXi sont stockés localement sur chaque hôte dans le répertoire /etc/vmware/ssl. Les certificats ESXi sont provisionnés par VMCA par défaut, mais vous pouvez utiliser plutôt des certificats personnalisés. Les certificats ESXi sont provisionnés lorsque l'hôte est d'abord ajouté à vCenter Server et lorsque l'hôte se reconnecte.

Certificats SSL de la machine

Le certificat SSL de la machine pour chaque nœud est utilisé pour créer un socket SSL sur le côté serveur auquel les clients SSL se connectent. Le certificat est utilisé pour la vérification du serveur et pour la communication sécurisée telle que HTTPS ou LDAPS.

Tous les services communiquent par l'intermédiaire du proxy inverse. Pour des raisons de compatibilité, les services qui étaient disponibles dans les versions précédentes de vSphere utilisent également des ports spécifiques. Par exemple, le service vpxd utilise MACHINE_SSL_CERT pour exposer son point de terminaison.

Chaque nœud (déploiement intégré, nœud de gestion ou Platform Services Controller) a son propre certificat SSL de machine. Tous les services exécutés sur ce nœud utilisent ce certificat SSL de machine pour exposer leurs points de terminaison.

Le certificat SSL de la machine s'utilise de la façon suivante :

  • Par le service de proxy inverse sur chaque nœud Platform Services Controller. Les connexions SSL vers des services vCenter individuels accèdent toujours au proxy inverse. Le trafic n'accède pas aux services eux-mêmes.

  • Par le service vCenter (vpxd) sur les nœuds de gestion et les nœuds intégrés.

  • Par le service d'annuaire VMware (vmdir) sur les nœuds d'infrastructure et les nœuds intégrés.

Les produits VMware utilisent des certificats X.509 version 3 (X.509v3) standard pour chiffrer les informations de session envoyées sur SSL entre les composants.

Certificats d'utilisateurs de solutions

Un utilisateur de solution encapsule un ou plusieurs services vCenter Server et utilise les certificats pour s'authentifier auprès de vCenter Single Sign-On par l'intermédiaire de l'échange de jetons SAML. Chaque utilisateur de solution doit être authentifié auprès de vCenter Single Sign-On.

Les certificats d'utilisateurs de solutions sont utilisés pour l'authentification auprès de vCenter Single Sign-On. Un utilisateur de solution présente le certificat à vCenter Single Sign-On lorsqu'il doit s'authentifier après un redémarrage ou après l'expiration d'un délai. Le délai (délai du détenteur de clé) peut être défini à partir de vSphere Web Client et correspond par défaut à 2 592 000 secondes (30 jours).

Par exemple, l'utilisateur de solution vpxd présente son certificat à vCenter Single Sign-On lorsqu'il se connecte à vCenter Single Sign-On. L'utilisateur de solution vpxd reçoit un jeton SAML à partir de vCenter Single Sign-On et peut utiliser ce jeton pour s'authentifier auprès d'autres utilisateurs de solutions et services.

Les magasins de certificats d'utilisateurs de solutions sont inclus dans VECS sur chaque nœud de gestion et chaque déploiement intégré :

  • machine : Utilisé par le gestionnaire de composants, le serveur de licences et le service de journalisation.

    Remarque :

    Le certificat d'utilisateurs de solution de machine n'a rien à voir avec le certificat SSL de machine. Le certificat d'utilisateur de solution de machine est utilisé pour l'échange de jetons SAML ; le certificat SSL de machine est utilisé pour les connexions SSL sécurisées d'une machine.

  • vpxd : Magasin du démon de service vCenter (vpxd) sur les nœuds de gestion et les déploiements intégrés. vpxd utilise le certificat d'utilisateur de solution de ce magasin pour s'authentifier auprès de vCenter Single Sign-On.

  • vpxd-extensions : Magasin d'extensions vCenter. Inclut le service Auto Deploy, Inventory Service et d'autres services ne faisant pas partie d'autres utilisateurs de solution.

  • vsphere-webclient : Magasin vSphere Web Client. Inclut également certains services supplémentaires tels que le service de graphiques de performance.

Le magasin de machines est également inclus sur chaque nœud Platform Services Controller.

Certificats vCenter Single Sign-On

Les certificats vCenter Single Sign-On ne sont pas stockés dans VECS et ne sont pas gérés avec des outils de gestion de certificats. En règle générale, les modifications ne sont pas nécessaires, mais dans des situations spéciales, vous pouvez remplacer ces certificats.

Certificat de signature vCenter Single Sign-On

Le service vCenter Single Sign-On inclut un fournisseur d'identité qui émet des jetons SAML utilisés dans vSphere à des fins d'authentification. Un jeton SAML représente l'identité de l'utilisateur et contient également des informations d'appartenance au groupe. Lorsque vCenter Single Sign-On émet des jetons SAML, il signe chacun d'eux avec le certificat de signature pour permettre aux clients de vCenter Single Sign-On de vérifier que le jeton SAML provient d'une source de confiance.

vCenter Single Sign-On émet des jetons détenteurs de clé SAML pour les utilisateurs de solution et des jetons au porteur pour les autres utilisateurs, qui se connectent avec un nom d'utilisateur et un mot de passe.

Vous pouvez remplacer ce certificat dans vSphere Web Client. Reportez-vous à Actualiser le certificat STS.

Certificat SSL du service d'annuaire VMware

Si vous utilisez des certificats personnalisés, il se peut que vous deviez remplacer le certificat SSL du service d'annuaire VMware de façon explicite. Reportez-vous à Remplacer le certificat de service d'annuaire VMware.