Après avoir reçu les certificats personnalisés, vous pouvez remplacer chaque certificat de machine.

Pourquoi et quand exécuter cette tâche

Chaque machine doit avoir un certificat SSL de machine pour la communication sécurisée avec d'autres services. Dans un déploiement à nœuds multiples, vous devez exécuter les commandes de génération de certificat SSL de la machine sur chaque nœud. Utilisez le paramètre --server pour désigner Platform Services Controller à partir d'un noeud vCenter Server avec une instance de Platform Services Controller externe.

Vous devez disposer des informations suivantes avant de pouvoir commencer à remplacer les certificats :

  • Mot de passe pour administrator@vsphere.local.

  • Certificat personnalisé SSL valide de la machine (fichier .crt).

  • Clé personnalisée SSL valide de la machine (fichier .key).

  • Certificat personnalisé valide pour Root (fichier .crt).

  • Si vous exécutez la commande sur un noeud vCenter Server avec une instance de Platform Services Controller externe dans un déploiement à plusieurs noeuds, l'adresse IP de Platform Services Controller.

Préambules

Vous devez avoir reçu de votre autorité de certification tierce ou d'entreprise un certificat pour chaque machine.

  • Taille de clé : 2 048 bits ou plus (codée au format PEM)

  • Format CRT

  • x509 version 3

  • SubjectAltName doit contenir DNS Name=<machine_FQDN>

  • Contient les utilisations de clé suivantes : signature numérique, non-répudiation, chiffrement de la clé

Procédure

  1. Arrêtez tous les services et démarrez ceux qui gèrent la création, la propagation et le stockage des certificats.

    Les noms de service diffèrent sur Windows et pour le vCenter Server Appliance.

    Windows

    service-control --stop --all
    service-control --start VMWareAfdService
    service-control --start VMWareDirectoryService
    service-control --start VMWareCertificateService
    

    vCenter Server Appliance

    service-control --stop --all
    service-control --start vmafdd
    service-control --start vmdird
    service-control --start vmcad
    
  2. Connectez-vous à chaque nœud et ajoutez à VECS les nouveaux certificats de machine que vous avez reçus de l'autorité de certification.

    Le nouveau certificat doit figurer dans le magasin de certificats local de toutes les machines pour que celles-ci puissent communiquer sur SSL.

    vecs-cli entry delete --store MACHINE_SSL_CERT --alias __MACHINE_CERT
    vecs-cli entry create --store MACHINE_SSL_CERT --alias __MACHINE_CERT --cert <cert-file-path>
    --key <key-file-path>
  3. Redémarrez tous les services.
    service-control --start --all
    

Remplacer les certificats SSL de machine par des certificats personnalisés

Vous pouvez remplacer le certificat SSL de machine sur chaque nœud en suivant la même procédure.

  1. Tout d'abord, supprimez le certificat existant dans VECS.

    "C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry delete --store MACHINE_SSL_CERT --alias __MACHINE_CERT
  2. Ensuite, ajoutez le certificat de remplacement.

    "C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry create --store MACHINE_SSL_CERT --alias __MACHINE_CERT --cert E:\custom-certs\ms-ca\signed-ssl\custom-w1-vim-cat-dhcp-094.eng.vmware.com.crt --key E:\custom-certs\ms-ca\signed-ssl\custom-x3-vim-cat-dhcp-1128.vmware.com.priv