Vous pouvez utiliser vSphere Certificate Manager pour générer des demandes de signature de certificat. Soumettez ces demandes de signature de certificat à l'autorité de certification de votre entreprise ou à une autorité de certification externe pour une signature. Vous pouvez utiliser les certificats signés avec les différents processus de remplacement de certificat pris en charge.

Pourquoi et quand exécuter cette tâche

  • Vous pouvez utiliser vSphere Certificate Manager pour générer la demande de signature de certificat.

  • Si vous préférez créer la demande de signature de certificat manuellement, le certificat envoyé pour signature doit satisfaire les conditions suivantes :

    • Taille de clé : 2 048 bits ou plus

    • Format PEM. VMware prend en charge PKCS8 et PKCS1 (clés RSA). Lorsque des clés sont ajoutées à VECS, elles sont converties en PKCS8

    • x509 version 3

    • Si vous utilisez des certificats personnalisés, l'extension d'autorité de certification doit être définie sur vrai, pour les certificats racine, et la signature de certification doit figurer dans la liste de conditions requises.

    • La signature CRL doit être activée.

    • L’utilisation avancée de la clé ne doit impliquer ni authentification client ni authentification serveur.

    • Aucune limite explicite à la longueur de la chaîne de certificats. VMCA utilise la valeur par défaut OpenSSL, qui est 10 certificats.

    • Les certificats incluant des caractères génériques ou plusieurs noms DNS ne sont pas pris en charge.

    • Vous ne pouvez pas créer d'autorités de certification filiales de VMCA.

      Reportez-vous à l'article 2112009 de la base de connaissances de VMware, Creating a Microsoft Certificate Authority Template for SSL certificate creation in vSphere 6.0, pour consulter un exemple d'utilisation de l'autorité de certification Microsoft.

Préambules

vSphere Certificate Manager vous invite à fournir des informations. Les invites dépendent de votre environnement et du type de certificat que vous souhaitez remplacer.

Pour la génération d'une demande de signature de certificat, vous êtes invité à entrer le mot de passe de l'utilisateur administrator@vsphere.local ou de l'administrateur du domaine vCenter Single Sign-On auquel vous vous connectez.

Procédure

  1. Démarrez vSphere Certificate Manager et sélectionnez l'option 2.

    Initialement, vous utilisez cette option pour générer la demande de signature de certificat, pas pour remplacer des certificats.

  2. Fournissez le mot de passe et l'adresse IP ou le nom d'hôte de Platform Services Controller, si vous y êtes invité.
  3. Sélectionnez l'option 1 pour générer la demande de signature de certificat et répondez aux invites.

    Dans le cadre du processus, vous devez fournir un répertoire. Certificate Manager place le certificat à signer (fichier *.csr) et le fichier de clés correspondant (fichier *.key) dans le répertoire.

  4. Envoyez le certificat pour signature à l'autorité de certification d'entreprise ou à l'autorité de certification externe, puis nommez le fichier root_signing_cert.cer.
  5. Dans un éditeur de texte, combinez les certificats de la façon suivante.
    -----BEGIN CERTIFICATE-----
    Signed VMCA root certificate
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    CA intermediate certificates
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    Root certificate of enterprise or external CA
    -----END CERTIFICATE-----
  6. Enregistrez le fichier en tant que root_signing_chain.cer.

Que faire ensuite

Remplacez le certificat racine existant par le certificat racine chaîné. Reportez-vous à Remplacer le certificat racine VMCA par un certificat de signature personnalisé et remplacer tous les certificats.