Vous pouvez remplacer le certificat racine VMCA par un certificat signé par une autorité de certification qui inclut VMCA comme certificat intermédiaire dans la chaîne de certificats. Par la suite, tous les certificats générés par VMCA incluent l'ensemble de la chaîne.

Avant de commencer

  • Générer la demande de signature de certificat.

    • Vous pouvez utiliser vSphere Certificate Manager pour générer la demande de signature de certificat. Reportez-vous à Générer une demande de signature de certificat avec vSphere Certificate Manager et préparer un certificat racine (autorité de certification intermédiaire)

    • Si vous préférez créer la demande de signature de certificat manuellement, le certificat envoyé pour signature doit satisfaire les conditions suivantes :

      • Taille de clé : 2 048 bits ou plus

      • Format PEM. VMware prend en charge PKCS8 et PKCS1 (clés RSA). Lorsque des clés sont ajoutées à VECS, elles sont converties en PKCS8

      • x509 version 3

      • Si vous utilisez des certificats personnalisés, l'extension d'autorité de certification doit être définie sur vrai, pour les certificats racine, et la signature de certification doit figurer dans la liste de conditions requises.

      • La signature CRL doit être activée.

      • L’utilisation avancée de la clé ne doit impliquer ni authentification client ni authentification serveur.

      • Aucune limite explicite à la longueur de la chaîne de certificats. VMCA utilise la valeur par défaut OpenSSL, qui est 10 certificats.

      • Les certificats incluant des caractères génériques ou plusieurs noms DNS ne sont pas pris en charge.

      • Vous ne pouvez pas créer d'autorités de certification filiales de VMCA.

        Reportez-vous à l'article 2112009 de la base de connaissances de VMware, Creating a Microsoft Certificate Authority Template for SSL certificate creation in vSphere 6.0, pour consulter un exemple d'utilisation de l'autorité de certification Microsoft.

  • Après avoir reçu le certificat de votre autorité de certification d'entreprise ou de tierce partie, combinez-le avec le certificat racine VMCA initial pour générer une chaîne complète avec le certificat racine VMCA au bas. Reportez-vous à Générer une demande de signature de certificat avec vSphere Certificate Manager et préparer un certificat racine (autorité de certification intermédiaire).

  • Rassemblez les informations qui vous seront nécessaires.

    • Mot de passe pour administrator@vsphere.local.

    • Certificat personnalisé valide pour Root (fichier .crt).

    • Clé personnalisée valide pour l'utilisateur racine (fichier .key).

Pourquoi et quand exécuter cette tâche

Exécutez vSphere Certificate Manager sur une installation intégrée ou sur un Platform Services Controller externe pour remplacer le certificat racine VMCA par un certificat de signature personnalisé.

vSphere Certificate Manager vous invite à fournir les informations suivantes :

Procédure

  1. Démarrez vSphere Certificat Manager sur une installation intégrée ou un Platform Services Controller externe et sélectionnez l'option 2.
  2. Sélectionnez l'option 2 pour démarrer le remplacement des certificats et répondre aux invites.
    1. Spécifiez le chemin complet du certificat racine lorsque vous y êtes invité.
    2. Si vous remplacez des certificats pour la première fois, vous êtes invité à saisir des informations utilisées pour le certificat SSL de machine.

      Ces informations, qui incluent le domaine requis de la machine, sont conservées dans le fichier certool.cfg.

  3. Si vous remplacez le certificat racine dans un déploiement à nœuds multiples, vous devez redémarrer les services sur tous les vCenter Server.
  4. Dans les déploiements à nœuds multiples, régénérez tous les certificats de chaque instance vCenter Server en utilisant les options 3 (Remplacer les certificats SSL de la machine par des certificats signés par VMCA) et 6 (Remplacer les certificats d'utilisateurs de solution par des certificats signés par VMCA).

    Lorsque vous remplacer les certificats, VMCA signe avec la chaîne complète.

Que faire ensuite

Selon votre environnement, vous devrez éventuellement remplacer explicitement d'autres certificats.