vSphere fournit une sécurité en utilisant des certificats pour chiffrer les communications, authentifier des services et signer des jetons.

vSphere utilise des certificats pour :

  • Chiffrer les communications entre deux nœuds, comme vCenter Server et un hôte ESXi.

  • Authentifiez les services vSphere.

  • Effectuer des actions internes telles que la signature des jetons.

L'autorité de certification interne de vSphere, VMware Certificate Authority (VMCA), fournit tous les certificats nécessaires pour vCenter Server et ESXi. VMCA est installé sur chaque instance de Platform Services Controller, ce qui sécurise immédiatement la solution sans autre modification requise. Le maintien de cette configuration par défaut permet la surcharge opérationnelle la plus faible pour la gestion des certificats. vSphere fournit un mécanisme permettant de renouveler ces certificats s'ils arrivent à expiration.

vSphere fournit également un mécanisme pour remplacer certains certificats par vos propres certificats. Toutefois, remplacez uniquement le certificat SSL qui fournit un chiffrement entre les nœuds pour conserver une faible surcharge de gestion des certificats.

Les options suivantes sont recommandées pour la gestion des certificats.

Tableau 1. Options recommandées pour la gestion des certificats

Mode

Description

Avantages

Certificats VMCA par défaut

VMCA fournit tous les certificats requis pour les hôtes vCenter Server et ESXi.

Surcharge la plus simple et la plus faible. VMCA peut gérer le cycle de vie des certificats de vCenter Server et des hôtes ESXi.

Certificats VMCA par défaut avec certificats SSL externes (mode hybride)

Vous remplacez les certificats SSL des dispositifs Platform Services Controller et vCenter Server, et autorisez VMCA à gérer les certificats pour les utilisateurs de solution et les hôtes ESXi. Le cas échéant, pour les déploiements hautement sécurisés, vous pouvez également remplacer les certificats SSL de l'hôte ESXi.

Simple et sécurisée. VMCA gère les certificats internes, mais vous bénéficiez de l'utilisation de vos certificats SSL approuvés par l'entreprise et ces certificats sont approuvés par les navigateurs.

VMware ne recommande pas le remplacement des certificats d'utilisateur de solution ou STS, ni l'utilisation d'une autorité de certification subordonnée à la place de VMCA. Si vous choisissez une de ces options, vous vous exposez à plus de complexité et un risque potentiel pour votre sécurité, ce qui représente une augmentation inutile dans vos risques opérationnels. Pour plus d'informations sur la gestion des certificats dans un environnement vSphere, consultez le blog intitulé Nouvelle procédure produit - Remplacement hybride des certificats SSL vSphere à l'adresse http://vmware.com/go/hybridvmca.

Vous pouvez utiliser les options suivantes pour remplacer les certificats existants :

Tableau 2. Différentes approches du remplacement de certificat

Option

Reportez-vous au

Utilisez l'interface Web Platform Services Controller (vSphere 6.0 Update 1 et version ultérieure).

Gestion de certificats avec l'interface Web Platform Services Controller

Utilisez l'utilitaire de gestion de certificat vSphere dans l'invite de commande.

Gestion de certificats avec l'utilitaire vSphere Certificate Manager

Utilisez les commandes CLI pour remplacer des certificats manuellement.

Gestion des services et des certificats avec des interfaces de lignes de commande