Bon nombre d'entreprises demandent uniquement à ce que vous remplaciez les certificats de services accessibles de façon externe. Toutefois, Certificate Manager prend uniquement en charge le remplacement des certificats de l'utilisateur de solution. Les utilisateurs de solutions sont des collections de services, par exemple, tous les services associés à vSphere Client Dans les déploiements multi-nœuds, remplacez le certificat de l'utilisateur de solution de la machine sur Platform Services Controller et l'ensemble complet d'utilisateurs de solutions sur chaque nœud de gestion.
Lorsque vous êtes invité à indiquer un certificat d'utilisateur de solution, fournissez la chaîne de certificat de signature complète de l'autorité de certification tierce.
-----BEGIN CERTIFICATE----- Signing certificate -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- CA intermediate certificates -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- Root certificate of enterprise or external CA -----END CERTIFICATE-----
Conditions préalables
- Pour générer la demande de signature de certificat à l'aide de vSphere Certificate Manager, reportez-vous à Générer des demandes de signature de certificat avec vSphere Certificate Manager (certificats personnalisés).
- Demandez un certificat pour chaque utilisateur de solution sur chaque nœud auprès de votre autorité de certification tierce ou d'entreprise. Vous pouvez générer la demande de signature de certificat à l'aide de vSphere Certificate Manager ou la préparer vous-même. La demande de signature de certificat doit répondre aux exigences suivantes :
- Taille de clé : 2 048 bits ou plus (codée au format PEM)
- Format CRT
- x509 version 3
- SubjectAltName doit contenir DNS Name=<machine_FQDN>.
Chaque certificat d'utilisateur de la solution doit avoir un paramètre Subject différent. Vous pouvez par exemple saisir le nom de l'utilisateur de la solution (tel que vpxd) ou un autre identifiant unique.
- Contient les utilisations de clé suivantes : signature numérique, chiffrement de clé
Reportez-vous également à l'article de la base de connaissances VMware à l'adresse http://kb.vmware.com/kb/2112014, Obtention de certificats vSphere depuis une autorité de certification Microsoft.
Procédure
Que faire ensuite
Si vous procédez à une mise à niveau à partir d'un environnement vSphere 5.x, vous devrez éventuellement remplacer le certificat vCenter Single Sign-On dans vmdir. Reportez-vous à la section Remplacer le certificat VMware Directory Service dans des environnement en mode mixte.