Le travail nécessaire pour configurer ou mettre à jour votre infrastructure de certificats dépend des exigences de votre environnement, de la nature de l'activité (selon que vous effectuez une nouvelle installation ou une mise à niveau) et de votre intention d'utiliser ESXi ou vCenter Server.

Administrateurs qui ne remplacent pas les certificats VMware

VMCA peut prendre en charge la gestion de tous les certificats. VMCA fournit aux composants de vCenter Server et aux hôtes ESXi des certificats qui utilisent VMCA comme autorité de certification racine. Si vous effectuez une mise à niveau vers vSphere 6 à partir d'une version précédente de vSphere, tous les certificats auto-signés sont remplacés par des certificats signés par VMCA.

Si, actuellement, vous ne remplacez pas de certificats VMware, votre environnement commence à utiliser des certificats signés par VMCA au lieu de certificats auto-signés.

Administrateurs qui remplacent les certificats VMware par des certificats personnalisés

Si la stratégie d'entreprise exige que les certificats soient signés par une autorité de certification tierce ou d'entreprise, ou si elle exige des informations de certificat personnalisé, vous disposez de plusieurs choix pour une nouvelle installation.

  • Faites signer le certificat racine VMCA par une autorité de certification tierce ou d'entreprise. Remplacez le certificat racine VMCA par ce certificat signé. Dans ce scénario, le certificat VMCA est un certificat intermédiaire. VMCA fournit aux composants de vCenter Server et aux hôtes ESXi des certificats qui incluent la chaîne complète de certificats.

  • Si la stratégie d'entreprise n'autorise pas les certificats intermédiaires dans la chaîne, vous pouvez remplacer les certificats de façon explicite. Vous pouvez utiliser l'interface Web de Platform Services Controller, l'utilitaire vSphere Certificate Manager, ou effectuer le remplacement manuel des certificats en utilisant les interfaces de ligne de commande de gestion de certificats.

Lors de la mise à niveau d'un environnement qui utilise des certificats personnalisés, vous pouvez conserver certains certificats.

  • Les hôtes ESXi conservent leurs certificats personnalisés pendant la mise à niveau. Assurez-vous que le processus de mise à niveau de vCenter Server ajoute tous les certificats racines pertinents au magasin TRUSTED_ROOTS dans VECS sur vCenter Server.

    Une fois la mise à niveau vers vSphere 6.0 ou version ultérieure effectuée, vous pouvez définir le mode des certificats sur Personnalisé. Si le mode de certificat est VMCA (valeur par défaut) et si l'utilisateur effectue une actualisation des certificats à partir de vSphere Web Client, les certificats signés par l'autorité de certification VMware (VMCA) remplacent les certificats personnalisés.

  • Pour les composants vCenter Server, ce qui se produit dépend de l'environnement existant.

    • Lors de la mise à niveau d'une installation simple vers un déploiement intégré, vCenter Server conserve les certificats personnalisés. Après la mise à niveau, votre environnement fonctionne comme auparavant.

    • Pour une mise à niveau d'un déploiement multisite, vCenter Single Sign-On peut se trouver sur une machine différente de celle des autres composants vCenter Server. Dans ce cas, le processus de mise à niveau crée un déploiement à plusieurs nœuds qui inclut un nœud Platform Services Controller et un ou plusieurs nœuds de gestion.

      Dans ce scénario, les certificats vCenter Server et vCenter Single Sign-On sont conservés. Les certificats sont utilisés en tant que certificats SSL de machine.

      En outre, VMCA attribue un certificat signé par VMCA à chaque utilisateur de solution (collection de services vCenter). L'utilisateur de solution utilise ce certificat uniquement pour s'authentifier auprès de vCenter Single Sign-On. Souvent, la stratégie d'entreprise n'exige pas que les certificats d'utilisateur de solution soient remplacés.

    Vous ne pouvez plus utiliser l'outil de remplacement des certificats vSphere 5.5, qui était disponible pour les installations vSphere 5.5. La nouvelle architecture se traduit par la distribution et le placement d'un service différent. Un nouvel utilitaire de ligne de commande, vSphere Certificate Manager, est disponible pour la plupart des tâches de gestion de certificats.

Interfaces de certificats vSphere

Pour vCenter Server, vous pouvez afficher et remplacer les certificats avec les outils et les interfaces ci-après.

Tableau 1. Interfaces pour la gestion des certificats vCenter Server

Interface

Utilisez

l'interface Web de Platform Services Controller

Effectuez les tâches de certificat courantes à l'aide d'une interface utilisateur graphique.

Utilitaire vSphere Certificate Manager

Effectuez les tâches courantes de remplacement de certificat à partir de la ligne de commande de l'installation de vCenter Server.

Interfaces de ligne de commande de gestion de certificats

Effectuez toutes les tâches de gestion de certificats avec dir-cli, certool et vecs-cli.

vSphere Web Client

Affichez les certificats, y compris les informations d'expiration.

Pour ESXi, effectuez la gestion des certificats à partir de vSphere Web Client. VMCA provisionne les certificats et les stocke localement sur l'hôte ESXi. VMCA ne stocke pas les certificats de l'hôte ESXi dans VMDIR ou dans VECS. Consultez la documentation de Sécurité vSphere.

Certificats vCenter pris en charge

Pour vCenter Server, Platform Services Controller et pour les machines et services associés, les certificats suivants sont pris en charge :

  • Certificats qui sont générés et signés par VMware Certificate Authority (VMCA).

  • Certificats personnalisés.

    • Certificats d'entreprise qui sont générés à partir de votre propre infrastructure de clés publiques (PKI) interne.

    • Certificats signés par une autorité de certification tierce qui sont générés à partir d'une infrastructure de clés publiques (PKI) externe telle que Verisign, GoDaddy, etc.

Les certificats auto-signés créés au moyen d'OpenSSL dans lesquels il n'existe aucune autorité de certification racine ne sont pas pris en charge.