Vous pouvez faire signer le certificat VMCA par une autre autorité de certification afin que VMCA devienne une autorité de certification intermédiaire. Par la suite, tous les certificats générés par VMCA incluent la chaîne complète.

Pourquoi et quand exécuter cette tâche

Vous pouvez réaliser cette configuration en utilisant l'utilitaire vSphere Certificate Manager, les CLI ou l'interface Web Platform Services Controller.

Préambules

  1. Générer la demande de signature de certificat.

  2. Modifiez le certificat que vous recevez et placez le certificat racine VMCA actuel en bas.

Générer une demande de signature de certificat avec vSphere Certificate Manager et préparer un certificat racine (autorité de certification intermédiaire) explique les deux étapes.

Procédure

  1. Dans un navigateur Web, connectez-vous à vSphere Web Client ou à Platform Services Controller.

    Option

    Description

    vSphere Web Client

    https://vc_hostname_or_IP/vsphere-client

    Platform Services Controller

    https://psc_hostname_or_IP/psc

    Dans un déploiement intégré, le nom d'hôte ou l'adresse IP de Platform Services Controller est identique au nom d'hôte ou à l'adresse IP de vCenter Server.

  2. Spécifiez le nom d'utilisateur et le mot de passe pour administrator@vsphere.local ou un autre membre du groupe d'administrateurs de vCenter Single Sign-On.

    Si vous avez spécifié un autre domaine lors de l'installation, connectez-vous en tant qu'administrator@mydomain.

  3. Pour remplacer le certificat existant par le certificat chaîné, procédez comme suit :
    1. Dans Certificats, cliquez sur Autorité de certification et sélectionnez l'onglet Certificat racine.
    2. Cliquez sur Remplacer le certificat, ajoutez la clé privée et le fichier de certificat (chaîne complète) et cliquez sur OK.
    3. Dans la boîte de dialogue Remplacer le certificat racine, cliquez sur Parcourir et sélectionnez la clé privée, cliquez de nouveau sur Parcourir et sélectionnez le certificat, puis cliquez sur OK.

    Par la suite, VMCA signe tous les certificats qu'il émet avec le nouveau certificat racine chaîné.

  4. Renouvelez le certificat SSL de la machine pour le système local.
    1. Sous Certificats, cliquez sur Gestion des certificats, puis cliquez dans l'onglet Certificats de la machine.
    2. Sélectionnez le certificat, cliquez sur Renouveler, puis répondez Oui à l'invite.

    VMCA remplace le certificat de la machine SSL par le certificat signé par la nouvelle autorité de certification.

  5. (Facultatif) : Renouvelez les certificats d'utilisateur de solution pour le système local.
    1. Cliquez sur l'onglet Certificats d'utilisateur de solution.
    2. Sélectionnez un certificat, puis cliquez sur Renouveler pour renouveler des certificats individuels sélectionnés ou cliquez sur Renouveler tout pour remplacer tous les certificats et répondez Oui à l'invite.

    VMCA remplace le certificat d'utilisateur de solution ou tous les certificats d'utilisateur de solution par des certificats signés par la nouvelle autorité de certification.

  6. Si votre environnement inclut un Platform Services Controller externe, vous pouvez renouveler les certificats pour chaque système vCenter Server.
    1. Cliquez sur le bouton Se déconnecter dans le panneau Gestion des certificats.
    2. Lorsque vous y êtes invité, spécifiez l'adresse IP ou le nom de domaine du système vCenter Server ainsi que le nom d'utilisateur et le mot de passe d'un administrateur vCenter Server.

      L'administrateur doit être en mesure de s'authentifier auprès de vCenter Single Sign-On.

    3. Renouvelez le certificat SSL de la machine dans vCenter Server et, si vous le souhaitez, chaque certificat d'utilisateur de solution.
    4. Si votre environnement comprend plusieurs systèmes vCenter Server, répétez la procédure pour chaque système.

Que faire ensuite

Redémarrez les services sur Platform Services Controller. Vous pouvez redémarrer Platform Services Controller ou exécuter les commandes suivantes depuis la ligne de commande :

Windows

Sous Windows, la commande service-control se trouve à l'emplacement VCENTER_INSTALL_PATH\bin.

service-control --stop --all 
service-control --start VMWareAfdService 
service-control --start VMWareDirectoryService 
service-control --start VMWareCertificateService

vCenter Server Appliance

service-control --stop --all
service-control --start vmafdd 
service-control --start vmdird 
service-control --start vmcad