Par défaut, le serveur Auto Deploy provisionne chaque hôte avec des certificats signés par VMCA. Vous pouvez configurer le serveur Auto Deploy de manière à provisionner tous les hôtes à l'aide de certificats personnalisés non signés par VMCA. Dans ce scénario, le serveur Auto Deploy devient une autorité de certification subordonnée de l'autorité de certification tierce.

Préambules

  • Demandez un certificat à votre autorité de certification. Le certificat doit répondre aux conditions suivantes.

    • Taille de clé : 2 048 bits ou plus (codée au format PEM)

    • Format PEM. VMware prend en charge PKCS8 et PKCS1 (clés RSA). Lorsque des clés sont ajoutées à VECS, elles sont converties en PKCS8

    • x509 version 3

    • Pour les certificats racines, l'extension d'autorité de certification doit être définie sur vrai et la signature de certification doit figurer dans la liste de conditions requises.

    • SubjectAltName doit contenir DNS Name=<machine_FQDN>

    • Format CRT

    • Contient les utilisations de clé suivantes : signature numérique, non-répudiation, chiffrement de la clé

    • Heure de début antérieure d'un jour à l'heure actuelle

    • CN (et SubjectAltName) défini sur le nom de l'hôte (ou l'adresse IP) de l'hôte ESXi dans l'inventaire vCenter Server.

  • Nom du certificat et fichiers de clés rbd-ca.crt et rbd-ca.key.

Procédure

  1. Sauvegardez les certificats ESXi par défaut.

    Les certificats se situent à l'emplacement /etc/vmware-rbd/ssl/.

  2. Dans vSphere Web Client, arrêtez le service Auto Deploy.
    1. Sélectionnez Administration, puis cliquez sur Configuration système sous Déploiement.
    2. Cliquez sur Services.
    3. Cliquez avec le bouton droit sur le service que vous souhaitez arrêter et sélectionnez Arrêter.
  3. Sur le système qui exécute le service Auto Deploy, dans /etc/vmware-rbd/ssl/, remplacez rbd-ca.crt et rbd-ca.key par votre certificat personnalisé et vos fichiers de clés.
  4. Sur le système qui exécute le service Auto Deploy, mettez à jour le magasin TRUSTED_ROOTS dans VECS pour utiliser vos nouveaux certificats.

    Option

    Description

    Windows

    cd C:\Program Files\VMware\vCenter Server\vmafdd\vecs-cli.exe
    vecs-cli entry delete --store TRUSTED_ROOTS --alias rbd_cert  
    vecs-cli entry create --store TRUSTED_ROOTS --alias rbd_cert 
    --cert /etc/vmware-rbd/ssl/rbd-ca.crt

    Linux

    cd /usr/lib/vmware-vmafd/bin/vecs-cli
    vecs-cli entry delete --store TRUSTED_ROOTS --alias	rbd_cert  
    vecs-cli entry create --store TRUSTED_ROOTS --alias	rbd_cert 
    --cert /etc/vmware-rbd/ssl/rbd-ca.crt
  5. Créez un fichier castore.pem contenant tout ce qui se trouve dans TRUSTED_ROOTS et placez-le dans le répertoire /etc/vmware-rbd/ssl/.

    En mode personnalisé, vous êtes responsable de la gestion de ce fichier.

  6. Définissez le mode de certificat ESXi du système vCenter Server sur Personnalisé.

    Reportez-vous à Changer le mode de certificat.

  7. Redémarrez le service vCenter Server et démarrez le service Auto Deploy.

Résultats

La prochaine fois que vous provisionnez un hôte configuré pour utiliser Auto Deploy, le serveur Auto Deploy génère un certificat. Le serveur Auto Deploy utilise le certificat racine que vous venez d'ajouter au magasin TRUSTED_ROOTS.

Remarque :

Si vous rencontrez des problèmes avec Auto Deploy après le remplacement des certificats, reportez-vous à l'article 2000988 de la base de connaissances VMware.