Vous pouvez remplacer les certificats ESXi signés par VMCA par défaut dans ESXi Shell.

Avant de commencer

  • Si vous souhaitez utiliser des certificats signés par une autorité de certification tierce, générez la demande de certificat, envoyez-la à l'autorité de certification et stockez les certificats sur chaque hôte ESXi.

  • Si nécessaire, activez ESXi Shell ou activez le trafic SSH dans vSphere Web Client. Consultez la publication Sécurité vSphere pour plus d'informations sur l'activation de l'accès à ESXi Shell.

  • Tous les transferts de fichiers et autres communications se produisent lors d'une session HTTPS sécurisée. L'utilisateur servant à authentifier la session doit disposer du privilège Hôte > Config > AdvancedConfig sur l'hôte. Consultez la publication Sécurité vSphere pour plus d'informations sur l'attribution de privilèges par le biais de rôles.

Procédure

  1. Connectez-vous à ESXi Shell, directement à partir de l'interface utilisateur de la console directe (DCUI) ou à partir d'un client SSH, en tant qu'utilisateur disposant de privilèges d'administrateur.
  2. Dans l'inventaire /etc/vmware/ssl, renommer les certificats existants à l'aide des commandes suivantes :

    mv rui.crt orig.rui.crt
    mv rui.key orig.rui.key

  3. Copiez les certificats à utiliser dans /etc/vmware/ssl.
  4. Renommer le nouveau certificat et la clé dans rui.crt et rui.key.
  5. Redémarrez l'hôte après avoir installé le nouveau certificat.

    Vous pouvez également mettre l'hôte en mode de maintenance, installer le nouveau certificat, utiliser l'interface utilisateur de console directe (DCUI) pour redémarrer les agents de gestion, puis configurer l'hôte pour quitter le mode de maintenance.

Que faire ensuite

Mettez à jour le magasin TRUSTED_ROOTS de vCenter Server. Reportez-vous à Mettre à jour le magasin TRUSTED_ROOTS de vCenter Server (Certificats personnalisés).