Vous pouvez utiliser des certificats personnalisés d'une autorité de certification d'entreprise ou tierce. La première étape consiste à demander les certificats auprès de l'autorité de certification et à importer les certificats racines dans le magasin de certificats VMware Endpoint (VECS).

Conditions préalables

Le certificat doit répondre à la configuration requise suivante :

  • Taille de clé : 2 048 bits ou plus (codée au format PEM)
  • Format PEM. VMware prend en charge PKCS8 et PKCS1 (clés RSA). Lorsque des clés sont ajoutées à VECS, elles sont converties en PKCS8.
  • x509 version 3
  • Pour les certificats racines, l'extension d'autorité de certification doit être définie sur vrai et la signature de certification doit figurer dans la liste de conditions requises.
  • SubjectAltName doit contenir DNS Name=<machine_FQDN>.
  • Format CRT
  • Contient les utilisations de clé suivantes : signature numérique, chiffrement de clé
  • Heure de début antérieure d'un jour à l'heure actuelle.
  • CN (et SubjectAltName) défini sur le nom de l'hôte (ou l'adresse IP) de l'hôte ESXi dans l'inventaire vCenter Server.

Procédure

  1. Envoyez des demandes de signature de certificat (CSR) pour les certificats suivants à votre entreprise ou à un fournisseur tiers de certificats.
    • Un certificat SSL de machine pour chaque machine. Pour le certificat SSL de machine, le champ SubjectAltName doit contenir le nom de domaine complet (DNS NAME=FQDN_machine).
    • Éventuellement, quatre certificats d'utilisateurs de solutions pour chaque système intégré ou nœud de gestion. Les certificats d'utilisateurs de solutions ne doivent pas inclure d'adresse IP, de nom d'hôte ou d'adresse e-mail. Chaque certificat doit avoir un sujet de certificat différent.
    • Un certificat utilisateur de solution de machine pour les instances externes de Platform Services Controller est également possible. Ce certificat diffère du certificat SSL de machine pour l'instance de Platform Services Controller.

    En général, le résultat est un fichier PEM pour la chaîne d'approbation, plus les certificats SSL signés pour chaque Platform Services Controller ou nœud de gestion.

  2. Répertoriez les magasins TRUSTED_ROOTS et SSL de machine.
    vecs-cli store list 
    
    1. Assurez-vous que le certificat racine actuel et tous les certificats SSL de machine sont signés par VMCA.
    2. Prenez note des champs du numéro de série, de l'émetteur et du CN du sujet.
    3. (Facultatif) À l'aide d'un navigateur Web, ouvrez une connexion HTTPS à un nœud sur lequel le certificat sera remplacé, vérifiez les informations relatives au certificat et assurez-vous qu'elles correspondent à celles du certificat SSL de machine.
  3. Arrêtez tous les services et démarrez ceux qui gèrent la création, la propagation et le stockage des certificats.
    Les noms de service diffèrent sur Windows et pour le vCenter Server Appliance.
    Note : Si votre environnement utilise une instance externe de Platform Services Controller, vous n'avez pas à arrêter et démarrer les services VMware Directory Service (vmdird) et VMware Certificate Authority (vmcad) sur le nœud vCenter Server. Ces services s'exécutent sur Platform Services Controller.
    Windows
    service-control --stop --all
    service-control --start VMWareAfdService
    service-control --start VMWareDirectoryService
    service-control --start VMWareCertificateService
    
    vCenter Server Appliance
    service-control --stop --all
    service-control --start vmafdd
    service-control --start vmdird
    service-control --start vmcad
    
  4. Publiez le certificat racine personnalisé.
    dir-cli trustedcert publish --cert <my_custom_root>
    Si vous ne spécifiez pas de nom d'utilisateur et de mot de passe sur la ligne de commande, vous êtes invité à le faire.
  5. Redémarrez tous les services.
    service-control --start --all
    

Que faire ensuite

Vous pouvez supprimer le certificat racine VMCA initial du magasin de certificats si la stratégie de l'entreprise l'exige. Dans ce cas, vous devez actualiser le certificat vCenter Single Sign-On. Reportez-vous à la section Actualiser le certificat STS.