Vous pouvez effectuer différents types de remplacement de certificats selon la stratégie et les besoins de l'entreprise pour le système que vous configurez. Vous pouvez effectuer un remplacement de certificat à l'aide de Platform Services Controller en utilisant l'utilitaire vSphere Certificate Manager, ou le remplacer manuellement à l'aide des interfaces de ligne de commande incluses dans votre installation.

Vous pouvez remplacer les certificats par défaut. Pour les composants de vCenter Server, vous pouvez utiliser un ensemble d'outils de ligne de commande inclus dans votre installation. Vous avez plusieurs options.

Remplacer par des certificats signés par VMCA

Si votre certificat VMCA expire ou si vous souhaitez le remplacer pour d'autres raisons, vous pouvez utiliser les interfaces de ligne de commande de gestion de certificats pour effectuer ce processus. Par défaut, le certificat racine VMCA expire au bout de dix ans, tous les certificats signés par VMCA expirent au moment de l'expiration du certificat racine, c'est-à-dire au terme d'une période maximale de dix ans.

Figure 1. Les certificats signés par VMCA sont stockés dans VECS
En mode par défaut, VMCA effectue le provisionnement avec des certificats signés par VMCA

Faire de VMCA une autorité de certificat intermédiaire

Vous pouvez remplacer le certificat racine VMCA par un certificat qui est signé par une autorité de certification d'entreprise ou une autorité de certification tierce. VMCA signe le certificat racine personnalisé chaque fois qu'il provisionne des certificats, ce qui en fait une autorité de certification intermédiaire.

Remarque :

Si vous effectuez une nouvelle installation qui inclut un Platform Services Controller externe, installez d'abord le Platform Services Controller et remplacez le certificat racine VMCA. Installez ensuite d'autres services ou ajoutez des hôtes ESXi à votre environnement. Si vous effectuez une nouvelle installation avec un Platform Services Controller intégré, remplacez le certificat racine VMCA avant d'ajouter des hôtes ESXi. Dans ce cas, VMCA signe l'intégralité de la chaîne et vous n'avez pas à générer de nouveaux certificats.

Figure 2. Les certificats signés par une autorité de certification tierce ou d'entreprise utilisent VMCA comme autorité de certification intermédiaire
Le certificat VMCA est inclus comme certificat intermédiaire. Le certificat racine est signé par une autorité de certification tierce.

Ne pas utiliser VMCA, provisionner avec des certificats personnalisés

Vous pouvez remplacer les certificats signés par VMCA existants par des certificats personnalisés. Si vous utilisez cette approche, vous êtes responsable de l'intégralité du provisionnement et de la surveillance des certificats.

Figure 3. Les certificats externes sont stockés directement dans VECS
Les certificats externes sont stockés directement dans VECS. VMCA n'est pas utilisé.

Déploiement hybride

Vous pouvez demander à VMCA de fournir une partie des certificats, mais utiliser des certificats personnalisés pour d'autres parties de votre infrastructure. Par exemple, comme les certificats d'utilisateur de solution sont utilisés uniquement pour s'authentifier auprès de vCenter Single Sign-On, envisagez de demander à VMCA de provisionner ces certificats. Remplacez les certificats SSL machine par des certificats personnalisés pour sécuriser l'ensemble du SSL.

Souvent, les stratégies d'entreprise n'autorisent pas les autorités de certificat intermédiaires. Dans ce type de situation, un déploiement hybride constitue une bonne solution. En effet, il réduit au maximum le nombre de certificats à remplacer et sécurise l'ensemble du trafic. Un déploiement hybride autorise uniquement le trafic interne (c'est-à-dire le trafic des utilisateurs de solutions) à utiliser les certificats par défaut signés par VMCA.

Remplacement des certificats ESXi

Pour les hôtes ESXi, vous pouvez modifier le comportement de provisionnement de certificats à partir de vSphere Web Client. Pour plus d'informations, reportez-vous à la documentation Sécurité vSphere.

Tableau 1. Options de remplacement de certificat ESXi

Option

Description

Mode VMware Certificate Authority (par défaut)

Lorsque vous renouvelez des certificats à partir de vSphere Web Client, VMCA émet les certificats pour les hôtes. Si vous modifiez le certificat racine VMCA de manière à inclure une chaîne de certificats, les certificats hôtes incluent la chaîne complète.

Mode d'autorité de certification personnalisée

Vous permet de manuellement mettre à jour et d'utiliser des certificats qui ne sont pas signés ou émis par VMCA.

Mode d'empreinte

Peut être utilisé pour conserver les certificats 5.5 pendant l'actualisation. Utilisez ce mode uniquement de façon temporaire dans des situations de débogage.