Une fois que vous avez remplacé les certificats SSL de la machine, vous pouvez remplacer les certificats d'utilisateurs de solution signés par VMCA par des certificats tiers ou de l'entreprise.

Pourquoi et quand exécuter cette tâche

De nombreux clients VMware ne remplacent pas les certificats d'utilisateur de solution. Ils se contentent de remplacer les certificats SSL de la machine par des certificats personnalisés. Cette approche hybride répond aux exigences de leurs équipes de sécurité.

  • Les certificats se trouvent derrière un proxy, ou ce sont des certificats personnalisés.

  • Aucune autorité de certification intermédiaire n'est utilisée.

Les utilisateurs de solutions utilisent des certificats uniquement pour s'authentifier sur vCenter Single Sign-On. Si le certificat est valide, vCenter Single Sign-On affecte un jeton SAML à l'utilisateur de la solution et ce dernier l'utilise pour s'authentifier vis-à-vis des autres composants vCenter.

Remplacez le certificat d'utilisateur de solution de machine sur chaque nœud Platform Services Controller. Remplacez les autres certificats d'utilisateurs de solutions uniquement sur chaque nœud de gestion. Utilisez le paramètre --server pour pointer vers le Platform Services Controller lorsque vous exécutez des commandes sur un nœud de gestion avec un Platform Services Controller externe.

Remarque :

Lorsque vous répertoriez les certificats d'utilisateurs de solutions dans des déploiements importants, le résultat de dir-cli list inclut tous les utilisateurs de solutions de tous les nœuds. Exécutez vmafd-cli get-machine-id --server-name localhost pour rechercher l'ID de machine locale de chaque hôte. Chaque nom d'utilisateur de solution comprend l'ID de machine.

Préambules

  • Taille de clé : 2 048 bits ou plus (codée au format PEM)

  • Format CRT

  • x509 version 3

  • SubjectAltName doit contenir DNS Name=<machine_FQDN>

  • Chaque certificat d'utilisateur de la solution doit avoir un paramètre Subject différent. Vous pouvez par exemple saisir le nom de l'utilisateur de la solution (tel que vpxd) ou un autre identifiant unique.

  • Contient les utilisations de clé suivantes : signature numérique, non-répudiation, chiffrement de la clé

Procédure

  1. Arrêtez tous les services et démarrez ceux qui gèrent la création, la propagation et le stockage des certificats.
    service-control --stop --all
    service-control --start vmafdd
    service-control --start vmdird
    service-control --start vmca
    
  2. Recherchez le nom de chaque utilisateur de la solution.
    dir-cli service list 
    

    Vous pouvez utiliser l'ID unique renvoyé lorsque vous remplacez les certificats. L'entrée et la sortie peuvent se présenter comme suit.

    C:\Program Files\VMware\vCenter Server\vmafdd>dir-cli service list
    Enter password for administrator@vsphere.local:
    1. machine-1d364500-4b45-11e4-96c2-020011c98db3
    2. vpxd-1d364500-4b45-11e4-96c2-020011c98db3
    3. vpxd-extension-1d364500-4b45-11e4-96c2-020011c98db3
    4. vsphere-webclient-1d364500-4b45-11e4-96c2-020011c98db3

    Lorsque vous répertoriez les certificats d'utilisateurs de solution dans un déploiement à nœuds multiples, la liste dir-cli contient tous les utilisateurs de solution de tous les nœuds. Exécutez vmafd-cli get-machine-id --server-name localhost pour rechercher l'ID de machine locale de chaque hôte. Chaque nom d'utilisateur de solution comprend l'ID de machine.

  3. Pour chaque utilisateur de solution, remplacez le certificat existant dans VECS puis dans vmdir.

    Vous devez ajouter les certificats dans cet ordre.

    vecs-cli entry delete --store vpxd --alias vpxd
    vecs-cli entry create --store vpxd --alias vpxd --cert vpxd.crt --key vpxd.priv
    dir-cli service update --name <vpxd-xxxx-xxx-xxxxxx> --cert vpxd.crt
    
    Remarque :

    Les utilisateurs de solutions ne peuvent pas s'authentifier auprès de vCenter Single Sign-On si vous ne remplacez pas le certificat dans vmdir.

  4. Redémarrez tous les services.
    service-control --start --all