Le certificat SSL de machine est utilisé par le service de proxy inverse sur chaque nœud de gestion, Platform Services Controller et chaque déploiement intégré. Chaque machine doit avoir un certificat SSL de machine pour la communication sécurisée avec d'autres services. Vous pouvez remplacer le certificat sur chaque nœud par un certificat personnalisé.

Avant de commencer

Avant de commencer, vous avez besoin d'une demande de signature de certificat pour chaque machine de votre environnement. Vous pouvez générer la demande de signature de certificat à l'aide de vSphere Certificate Manager ou explicitement.

  1. Pour générer la demande de signature de certificat à l'aide de vSphere Certificate Manager, reportez-vous à Générer des demandes de signature de certificat avec vSphere Certificate Manager (certificats personnalisés).

  2. Pour générer la demande de signature de certificat explicitement, demander un certificat pour chaque machine de votre autorité de certification tierce ou d'entreprise. Le certificat doit répondre aux exigences suivantes :

    • Taille de clé : 2 048 bits ou plus (codée au format PEM)

    • Format CRT

    • x509 version 3

    • SubjectAltName doit contenir DNS Name=<machine_FQDN>

    • Contient les utilisations de clé suivantes : signature numérique, non-répudiation, chiffrement de la clé

Reportez-vous également à l'article 2112014 de la base de connaissances, Obtention de certificats vSphere depuis une autorité de certification Microsoft.

Procédure

  1. Démarrez vSphere Certificate Manager et sélectionnez l'option 1.
  2. Sélectionnez l'option 2 pour démarrer le remplacement des certificats et répondre aux invites.

    vSphere Certificate Manager vous invite à fournir les informations suivantes :

    • Mot de passe pour administrator@vsphere.local.

    • Certificat personnalisé SSL valide de la machine (fichier .crt).

    • Clé personnalisée SSL valide de la machine (fichier .key).

    • Certificat de signature valide pour le certificat personnalisé SSL de la machine (fichier .crt).

    • Si vous exécutez la commande sur un nœud de gestion dans un déploiement à plusieurs nœuds, adresse IP de Platform Services Controller.

Que faire ensuite

Selon votre environnement, vous devrez éventuellement remplacer explicitement d'autres certificats.