Vous pouvez effectuer différents types de remplacement de certificats selon la stratégie et les besoins de l'entreprise pour le système que vous configurez. Vous pouvez effectuer un remplacement de certificat à l'aide de Platform Services Controller en utilisant l'utilitaire vSphere Certificate Manager, ou le remplacer manuellement à l'aide des interfaces de ligne de commande incluses dans votre installation.

VMCA est inclus dans chaque Platform Services Controller et dans chaque déploiement intégré. VMCA provisionne chaque nœud, chaque utilisateur de solutions vCenter Server et chaque hôte ESXi avec un certificat qui est signé par VMCA comme autorité de certification. Les utilisateurs de solution vCenter Server sont des groupes de services vCenter Server.

Vous pouvez remplacer les certificats par défaut. Pour les composants de vCenter Server, vous pouvez utiliser un ensemble d'outils de ligne de commande inclus dans votre installation. Vous avez plusieurs options.

Remplacer par des certificats signés par VMCA

Si votre certificat VMCA expire ou si vous souhaitez le remplacer pour d'autres raisons, vous pouvez utiliser les interfaces de ligne de commande de gestion de certificats pour effectuer ce processus. Par défaut, le certificat racine VMCA expire au bout de 10 ans, et tous les certificats signés par VMCA expirent au moment de l'expiration du certificat racine, c'est-à-dire au terme d'une période maximale de 10 ans.

Figure 1. Les certificats signés par VMCA sont stockés dans VECS
En mode par défaut, VMCA effectue le provisionnement avec des certificats signés par VMCA
Vous pouvez utiliser les options vSphere Certificate Manager suivantes :
  • Remplacer le certificat SSL machine par un certificat VMCA
  • Remplacer le certificat d'utilisateur de solution par un certificat VMCA

Pour le remplacement manuel de certificat, reportez-vous à Remplacer les certificats existants signés par l'autorité de certification VMware (VMCA) par de nouveaux certificats.

Faire de VMCA une autorité de certificat intermédiaire

Vous pouvez remplacer le certificat racine VMCA par un certificat qui est signé par une autorité de certification d'entreprise ou une autorité de certification tierce. VMCA signe le certificat racine personnalisé chaque fois qu'il provisionne des certificats, ce qui en fait une autorité de certification intermédiaire.
Note : Si vous effectuez une nouvelle installation qui inclut un Platform Services Controller externe, installez d'abord le Platform Services Controller et remplacez le certificat racine VMCA. Installez ensuite d'autres services ou ajoutez des hôtes ESXi à votre environnement. Si vous effectuez une nouvelle installation avec un Platform Services Controller intégré, remplacez le certificat racine VMCA avant d'ajouter des hôtes ESXi. Dans ce cas, VMCA signe l'intégralité de la chaîne et vous n'avez pas à générer de nouveaux certificats.
Figure 2. Les certificats signés par une autorité de certification tierce ou d'entreprise utilisent VMCA comme autorité de certification intermédiaire
Le certificat VMCA est inclus comme certificat intermédiaire. Le certificat racine est signé par une autorité de certification tierce.
Vous pouvez utiliser les options vSphere Certificate Manager suivantes :
  • Remplacer le certificat racine VMCA par un certificat de signature personnalisé et remplacer tous les certificats
  • Remplacer le certificat SSL machine par un certificat VMCA (déploiement multi-nœud)
  • Remplacer le certificat d'utilisateur de solution par un certificat VMCA (déploiement multi-nœud)

Pour le remplacement manuel de certificat, reportez-vous à Utiliser VMCA en tant qu'autorité de certificat intermédiaire.

Ne pas utiliser VMCA, provisionner avec des certificats personnalisés

Vous pouvez remplacer les certificats signés par VMCA existants par des certificats personnalisés. Si vous utilisez cette approche, vous êtes responsable de l'intégralité du provisionnement et de la surveillance des certificats.

Figure 3. Les certificats externes sont stockés directement dans VECS
Les certificats externes sont stockés directement dans VECS. VMCA n'est pas utilisé.
Vous pouvez utiliser les options vSphere Certificate Manager suivantes :
  • Remplacer le certificat SSL de machine par un certificat personnalisé
  • Remplacer les certificats d'utilisateurs de solution par des certificats personnalisés

Pour le remplacement manuel de certificat, reportez-vous à Utiliser des certificats personnalisés avec vSphere.

Vous pouvez également utiliser vSphere Client pour générer une demande de signature de certificat pour un certificat SSL de machine (personnalisé) et remplacer le certificat après son renvoi par l'autorité de certification. Reportez-vous à la section Générer une demande de signature de certificat pour un certificat SSL de machine à l'aide de vSphere Client (certificats personnalisés).

Déploiement hybride

Vous pouvez demander à VMCA de fournir une partie des certificats, mais utiliser des certificats personnalisés pour d'autres parties de votre infrastructure. Par exemple, comme les certificats d'utilisateur de solution sont utilisés uniquement pour s'authentifier auprès de vCenter Single Sign-On, envisagez de demander à VMCA de provisionner ces certificats. Remplacez les certificats SSL machine par des certificats personnalisés pour sécuriser l'ensemble du SSL.

Souvent, les stratégies d'entreprise n'autorisent pas les autorités de certificat intermédiaires. Dans ce type de situation, un déploiement hybride constitue une bonne solution. En effet, il réduit au maximum le nombre de certificats à remplacer et sécurise l'ensemble du trafic. Un déploiement hybride autorise uniquement le trafic interne (c'est-à-dire le trafic des utilisateurs de solutions) à utiliser les certificats par défaut signés par VMCA.

Remplacement des certificats ESXi

Pour les hôtes ESXi, vous pouvez modifier le comportement de provisionnement de certificats à partir de vSphere Client. Pour plus d'informations, reportez-vous à la documentation Sécurité vSphere.

Tableau 1. Options de remplacement de certificat ESXi
Option Description
Mode VMware Certificate Authority (par défaut) Lorsque vous renouvelez des certificats à partir de vSphere Client, VMCA émet les certificats pour les hôtes. Si vous modifiez le certificat racine VMCA de manière à inclure une chaîne de certificats, les certificats hôtes incluent la chaîne complète.
Mode d'autorité de certification personnalisée Vous permet de manuellement mettre à jour et d'utiliser des certificats qui ne sont pas signés ou émis par VMCA.
Mode d'empreinte Peut être utilisé pour conserver les certificats 5.5 pendant l'actualisation. Utilisez ce mode uniquement de façon temporaire dans des situations de débogage.