L'impact de la nouvelle infrastructure de certificats dépend des exigences de votre environnement, selon que vous effectuez une installation nouvelle ou une mise à niveau et selon que vous envisagez ESXi ou vCenter Server.

Administrateurs qui ne remplacent pas les certificats VMware

Si vous êtes un administrateur qui ne remplace pas actuellement les certificats VMware, VMCA peut prendre en charge toute la gestion des certificats pour vous. VMCA fournit aux composants de vCenter Server et aux hôtes ESXi des certificats qui utilisent VMCA comme autorité de certification racine. Si vous effectuez une mise à niveau vers vSphere 6 à partir d'une version précédente de vSphere, tous les certificats auto-signés sont remplacés par des certificats signés par VMCA.

Administrateurs qui remplacent les certificats VMware par des certificats personnalisés

Pour les installations nouvelles, les administrateurs disposent de ces choix si la stratégie de l'entreprise exige des certificats signés par une autorité de certification tierce ou de l'entreprise ou demande des informations de certificats personnalisées.

  • Remplacez le certificat racine VMCA par un certificat signé par une autorité de certification. Dans ce scénario, le certificat VMCA est un certificat intermédiaire de cette autorité de certification tierce. VMCA fournit aux composants de vCenter Server et aux hôtes ESXi des certificats qui incluent la chaîne complète de certificats.

  • Si la stratégie d'une entreprise n'autorise pas les certificats intermédiaires dans la chaîne, vous devez remplacer les certificats de façon explicite. Vous pouvez utiliser l'utilitaire vSphere Certificate Manager ou effectuer le remplacement manuel des certificats en utilisant les interfaces de ligne de commande de gestion de certificats.

Lors de la mise à niveau d'un environnement qui utilise des certificats personnalisés, vous pouvez conserver certains des certificats.

  • Les hôtes ESXi conservent leurs certificats personnalisés pendant la mise à niveau. Assurez-vous que le processus de mise à niveau de vCenter Server ajoute tous les certificats racines pertinents au magasin TRUSTED_ROOTS dans VECS sur vCenter Server.

    Après la mise à niveau de vCenter Server, les administrateurs peuvent définir le mode de certification sur Personnalisé (voir Changer le mode de certificat). Si le mode de certificat est VMCA (valeur par défaut) et si l'utilisateur effectue une actualisation des certificats à partir de vSphere Web Client, les certificats signés par l'autorité de certification VMware (VMCA) remplacent les certificats personnalisés.

  • Pour les composants vCenter Server, ce qui se produit dépend de l'environnement existant.

    • Si vous effectuez la mise à niveau d'une installation simple vers un déploiement intégré, les certificats personnalisés de vCenter Server sont conservés. Après la mise à niveau, votre environnement fonctionne comme auparavant.

    • Si vous mettez à niveau un déploiement multi-site dans lequel vCenter Single Sign-On se trouve sur une machine différente des autres composants vCenter Server, le processus de mise à niveau crée un déploiement à plusieurs nœuds qui inclut un nœud Platform Services Controller et un ou plusieurs nœuds de gestion.

      Dans ce scénario, les certificats existants de vCenter Server et de vCenter Single Sign-On sont conservés en tant que certificats SSL de la machine. VMCA attribue un certificat signé par VMCA à chaque utilisateur de solution (collection de services vCenter). Un utilisateur de solution n'utilise ce certificat que pour s'authentifier auprès de vCenter Single Sign-On, de sorte qu'il peut ne pas être nécessaire de remplacer les certificats d'utilisateurs de solutions.

    Vous ne pouvez plus utiliser l'outil de remplacement des certificats vSphere 5.5, qui était disponible pour les installations vSphere 5.5, car la nouvelle architecture se traduit par la distribution et le placement d'un service différent. Un nouvel utilitaire de ligne de commande, vSphere Certificate Manager, est disponible pour la plupart des tâches de gestion de certificats.

Interfaces de certificat vCenter

Pour vCenter Server, vous pouvez afficher et remplacer les certificats avec les outils et les interfaces ci-après.

Utilitaire vSphere Certificate Manager

Effectuez toutes les tâches courantes de remplacement de certificat à partir de la ligne de commande.

Interfaces de ligne de commande de gestion de certificats

Effectuez toutes les tâches de gestion de certificats avec dir-cli, certool et vecs-cli.

Gestion des certificats vSphere Web Client

Affichez les certificats, y compris les informations d'expiration.

Pour ESXi, effectuez la gestion des certificats à partir de vSphere Web Client. Les certificats sont provisionnés par VMCA et ne sont stockés localement que sur l'hôte ESXi, non pas dans vmdir ou VECS. Reportez-vous à Gestion de certificats pour les hôtes ESXi.

Certificats vCenter pris en charge

Pour vCenter Server, Platform Services Controller et pour les machines et services associés, les certificats suivants sont pris en charge :

  • Certificats qui sont générés et signés par l'autorité de certification VMware (VMCA).

  • Certificats personnalisés.

    • Certificats d'entreprise qui sont générés à partir de votre propre infrastructure de clés publiques (PKI) interne.

    • Certificats signés par une autorité de certification tierce qui sont générés à partir d'une infrastructure de clés publiques (PKI) externe telle que Verisign, GoDaddy, etc.

Les certificats auto-signés créés au moyen d'OpenSSL dans lesquels il n'existe aucune autorité de certification racine ne sont pas pris en charge.