La première étape du remplacement des certificats VMCA par des certificats personnalisés génère une demande de signature de certificat, qui est envoyée pour être signée. Ajoutez ensuite le certificat signé à VMCA en tant que certificat racine.

Vous pouvez utiliser l'utilitaire Certificate Manager ou un autre outil pour générer la demande de signature de certificat. La demande de signature de certificat doit répondre à la configuration requise suivante :
  • Taille de clé : 2 048 bits ou plus
  • Format PEM. VMware prend en charge PKCS8 et PKCS1 (clés RSA). Lorsque des clés sont ajoutées à VECS, elles sont converties en PKCS8.
  • x509 version 3
  • Si vous utilisez des certificats personnalisés, l'extension d'autorité de certification doit être définie sur vrai, pour les certificats racine, et la signature de certification doit figurer dans la liste de conditions requises.
  • La signature CRL doit être activée.
  • Utilisation étendue de la clé peut être vide ou contenir l'authentification du serveur.
  • Aucune limite explicite à la longueur de la chaîne de certificats. VMCA utilise la valeur par défaut OpenSSL, qui est 10 certificats.
  • Les certificats incluant des caractères génériques ou plusieurs noms DNS ne sont pas pris en charge.
  • Vous ne pouvez pas créer d'autorités de certification filiales de VMCA.

    Reportez-vous à l'article « Creating a Microsoft Certificate Authority Template for SSL certificate creation in vSphere 6.0 » de la base de connaissances VMware à l'adresse http://kb.vmware.com/kb/2112009 pour consulter un exemple d'utilisation de l'autorité de certification Microsoft.

VMCA valide les attributs suivants du certificat lorsque vous remplacez le certificat racine :
  • Taille de clé de 2 048 bits ou plus
  • Utilisation de clé : signature de certification
  • Contrainte de base : autorité de certification du type de sujet

Procédure

  1. Générez une demande de signature de certificat et envoyez-la à votre autorité de certification.
    Suivez les instructions de votre autorité de certification.
  2. Préparez un fichier de certificat qui inclut le certificat signé par VMCA et la chaîne d'autorité de certification complète de votre autorité de certification tierce ou d'entreprise. Enregistrez le fichier, par exemple en tant que rootca1.crt.
    Vous pouvez effectuer cette étape en copiant tous les certificats de l'autorité de certification au format PEM dans un fichier unique. Vous démarrez avec le certificat racine VMCA et terminez avec le certificat racine de l'autorité de certification au format PEM. Par exemple : 
    -----BEGIN CERTIFICATE-----
<Certificate of VMCA>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<Certificate of intermediary CA>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<Certificate of Root CA>
-----END CERTIFICATE-----
  3. Arrêtez tous les services et démarrez ceux qui gèrent la création, la propagation et le stockage des certificats.
    Les noms de service diffèrent sur Windows et pour le vCenter Server Appliance.
    Note : Si votre environnement utilise une instance externe de Platform Services Controller, vous n'avez pas à arrêter et démarrer les services VMware Directory Service (vmdird) et VMware Certificate Authority (vmcad) sur le nœud vCenter Server. Ces services s'exécutent sur Platform Services Controller.
    Windows 
    service-control --stop --all
service-control --start VMWareAfdService
service-control --start VMWareDirectoryService
service-control --start VMWareCertificateService
    vCenter Server Appliance 
    service-control --stop --all
service-control --start vmafdd
service-control --start vmdird
service-control --start vmcad
  4. Remplacez l'autorité de certification racine VMCA existante. 
    certool --rootca --cert=rootca1.crt --privkey=root1.key
    Lorsque vous exécutez cette commande, elle :
    • Ajoute le nouveau certificat racine personnalisé à l'emplacement des certificats dans le système de fichiers.
    • Ajoute le certificat racine personnalisé au magasin TRUSTED_ROOTS dans VECS (après un délai).
    • Ajoute le certificat racine personnalisé à vmdir (après un délai).
  5. (Facultatif) Pour propager le changement à toutes les instances de vmdir (VMware Directory Service), publiez le nouveau certificat racine dans vmdir, en fournissant le chemin complet de chaque fichier.
    Par exemple : 
    dir-cli trustedcert publish --cert rootca1.crt
    La réplication entre les nœuds vmdir se produit toutes les 30 secondes. Il n'est pas nécessaire d'ajouter le certificat racine à VECS de façon explicite, car VECS interroge vmdir concernant les fichiers de certificat racine toutes les 5 minutes.
  6. (Facultatif) Le cas échéant, vous pouvez forcer une opération d'actualisation de VECS. 
    vecs-cli force-refresh
  7. Redémarrez tous les services. 
    service-control --start --all

Exemple : Remplacement du certificat racine

Remplacez le certificat racine VMCA par le certificat racine VMCA personnalisé en utilisant la commande certool avec l'option --rootca. 

C:\>"C:\Program Files\VMware\vCenter Server\vmcad\certool" --rootca --cert=C:\custom-certs\root.pem -–privkey=C:\custom-certs\root.key
Lorsque vous exécutez cette commande, elle :
  • Ajoute le nouveau certificat racine personnalisé à l'emplacement des certificats dans le système de fichiers.
  • Ajoute le certificat racine personnalisé au magasin TRUSTED_ROOTS dans VECS.
  • Ajoute le certificat racine personnalisé à vmdir.

Que faire ensuite

Vous pouvez supprimer le certificat racine VMCA initial du magasin de certificats si la stratégie de votre entreprise l'exige. Dans ce cas, vous devez remplacer le certificat de signature de vCenter Single Sign-On. Reportez-vous à la section Actualiser le certificat STS.