Remplacer le certificat racine VMCA par un certificat de signature personnalisé et remplacer tous les certificats

Vous pouvez utiliser vSphere Certificate Manager pour générer une demande de signature de certificat et l'envoyer à une autorité de certification tierce ou d'entreprise pour la signature. Vous pouvez ensuite remplacer le certificat racine VMCA par un certificat de signature personnalisé et remplacer tous les certificats existants par des certificats signés par l'autorité de certification personnalisée.

Exécutez vSphere Certificate Manager sur une installation intégrée ou sur un Platform Services Controller externe pour remplacer le certificat racine VMCA par un certificat de signature personnalisé.

Conditions préalables

Générez la chaîne de certificats.
- Vous pouvez utiliser vSphere Certificate Manager pour créer la demande de signature de certificat ou pour créer manuellement la demande de signature de certificat.
- Après la réception du certificat signé de l'autorité de certification de tiers ou d'entreprise, combinez-le au certificat racine VMCA initial pour créer la chaîne complète.
  Reportez-vous à Générer une demande de signature de certificat avec vSphere Certificate Manager et préparer un certificat racine (autorité de certification intermédiaire) pour les conditions requise des certificats et le processus de combinaison des certificats.
Rassemblez les informations qui vous seront nécessaires.
- Mot de passe pour [email protected].
- Certificat personnalisé valide pour Root (fichier .crt).
- Clé personnalisée valide pour l'utilisateur racine (fichier .key).

Procédure

Démarrez vSphere Certificate Manager sur une installation intégrée ou un Platform Services Controller externe et sélectionnez l'option 2.
Sélectionnez de nouveau l'option 2 pour démarrer le remplacement des certificats et répondez aux invites.
1. Spécifiez le chemin complet du certificat racine lorsque vous y êtes invité.
2. Si vous remplacez des certificats pour la première fois, vous êtes invité à saisir des informations utilisées pour le certificat SSL de machine.
  Ces informations, qui incluent le domaine requis de la machine, sont conservées dans le fichier certool.cfg.
Si vous remplacez le certificat racine sur l'instance de Platform Services Controller dans un déploiement à nœuds multiples, procédez comme suit pour chaque nœud vCenter Server.
1. Redémarrez les services sur le nœud vCenter Server.
2. Régénérez tous les certificats sur l'instance vCenter Server en utilisant les options 3 (Replace Machine SSL certificate with VMCA Certificate) et 6 (Replace Solution user certificates with VMCA certificates).
Lorsque vous remplacez les certificats, VMCA signe avec la chaîne complète.

Que faire ensuite

Si vous procédez à une mise à niveau à partir d'un environnement vSphere 5.x, vous devrez éventuellement remplacer le certificat vCenter Single Sign-On dans vmdir. Reportez-vous à la section Remplacer le certificat VMware Directory Service dans des environnement en mode mixte.