Bon nombre d'entreprises demandent uniquement à ce que vous remplaciez les certificats de services accessibles de façon externe. Toutefois, Certificate Manager prend uniquement en charge le remplacement des certificats de l'utilisateur de solution. Les utilisateurs de solutions sont des collections de services, par exemple, tous les services associés à vSphere Web Client dans les déploiements multi-nœuds remplacent le certificat de l'utilisateur de solution de la machine sur Platform Services Controller et l'ensemble complet d'utilisateurs de solutions sur chaque nœud de gestion.

Pourquoi et quand exécuter cette tâche

Lorsque vous êtes invité à indiquer un certificat d'utilisateur de solution, fournissez la chaîne de certificat de signature complète de l'autorité de certification tierce.

Le format doit être semblable à l'exemple suivant.

-----BEGIN CERTIFICATE-----
Signing certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
CA intermediate certificates
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Root certificate of enterprise or external CA
-----END CERTIFICATE-----

Préambules

Avant de commencer, vous avez besoin d'une demande de signature de certificat pour chaque machine de votre environnement. Vous pouvez générer la demande de signature de certificat à l'aide de vSphere Certificate Manager ou explicitement.

  1. Pour générer la demande de signature de certificat à l'aide de vSphere Certificate Manager, reportez-vous à Générer des demandes de signature de certificat avec vSphere Certificate Manager (certificats personnalisés).

  2. Demandez un certificat pour chaque utilisateur de solution sur chaque nœud auprès de votre autorité de certification tierce ou d'entreprise. Vous pouvez générer la demande de signature de certificat à l'aide de vSphere Certificate Manager ou la préparer vous-même. La demande de signature de certificat doit répondre aux exigences suivantes :

    • Taille de clé : 2 048 bits ou plus (codée au format PEM)

    • Format CRT

    • x509 version 3

    • SubjectAltName doit contenir DNS Name=<machine_FQDN>

    • Chaque certificat d'utilisateur de la solution doit avoir un paramètre Subject différent. Vous pouvez par exemple saisir le nom de l'utilisateur de la solution (tel que vpxd) ou un autre identifiant unique.

    • Contient les utilisations de clé suivantes : signature numérique, non-répudiation, chiffrement de la clé

Reportez-vous également à l'article 2112014 de la base de connaissances, Obtention de certificats vSphere depuis une autorité de certification Microsoft.

Procédure

  1. Démarrez vSphere Certificate Manager et sélectionnez l'option 5.
  2. Sélectionnez l'option 2 pour démarrer le remplacement des certificats et répondre aux invites.

    vSphere Certificate Manager vous invite à fournir les informations suivantes :

    • Mot de passe pour administrator@vsphere.local.

    • Certificat et clé de l'utilisateur de solution de machine

    • Si vous exécutez vSphere Certificate Manager sur un nœud Platform Services Controller, vous êtes invité à saisir le certificat et la clé (vpxd.crt et vpxd.key) pour l'utilisateur de solution de machine.

    • Si vous exécutez vSphere Certificate Manager sur un nœud de gestion ou sur un déploiement intégré, vous êtes invité à indiquer l'ensemble complet de certificats et de clés (vpxd.crt et vpxd.key) pour tous les utilisateurs de solution.

Que faire ensuite

Si vous procédez à une mise à niveau à partir d'un environnement vSphere 5.x, vous devrez éventuellement remplacer le certificat vCenter Single Sign-On dans vmdir. Reportez-vous à Remplacer le certificat VMware Directory Service dans des environnement en mode mixte.