Remplacer les certificats SSL de machine par des certificats personnalisés

Après avoir reçu les certificats personnalisés, vous pouvez remplacer chaque certificat de machine.

Chaque machine doit avoir un certificat SSL de machine pour la communication sécurisée avec d'autres services. Dans un déploiement à nœuds multiples, vous devez exécuter les commandes de génération de certificat SSL de la machine sur chaque nœud. Utilisez le paramètre --server pour désigner Platform Services Controller à partir d'un noeud vCenter Server avec une instance de Platform Services Controller externe.

Vous devez disposer des informations suivantes avant de pouvoir commencer à remplacer les certificats :

Mot de passe pour [email protected].
Certificat personnalisé SSL valide de la machine (fichier .crt).
Clé personnalisée SSL valide de la machine (fichier .key).
Certificat personnalisé valide pour Root (fichier .crt).
Si vous exécutez la commande sur un noeud vCenter Server avec une instance de Platform Services Controller externe dans un déploiement à plusieurs noeuds, l'adresse IP de Platform Services Controller.

Conditions préalables

Vous devez avoir reçu de votre autorité de certification tierce ou d'entreprise un certificat pour chaque machine.

Taille de clé : 2 048 bits ou plus (codée au format PEM)
Format CRT
x509 version 3
SubjectAltName doit contenir DNS Name=<machine_FQDN>.
Contient les utilisations de clé suivantes : signature numérique, chiffrement de clé

Procédure

Arrêtez tous les services et démarrez ceux qui gèrent la création, la propagation et le stockage des certificats.
Les noms de service diffèrent sur Windows et pour le vCenter Server Appliance.
Note : Si votre environnement utilise une instance externe de Platform Services Controller, vous n'avez pas à arrêter et démarrer les services VMware Directory Service (vmdird) et VMware Certificate Authority (vmcad) sur le nœud vCenter Server. Ces services s'exécutent sur Platform Services Controller.
Windows
```
service-control --stop --all
service-control --start VMWareAfdService
service-control --start VMWareDirectoryService
service-control --start VMWareCertificateService
```
vCenter Server Appliance
```
service-control --stop --all
service-control --start vmafdd
service-control --start vmdird
service-control --start vmcad
```
Connectez-vous à chaque nœud et ajoutez à VECS les nouveaux certificats de machine que vous avez reçus de l'autorité de certification.
Le nouveau certificat doit figurer dans le magasin de certificats local de toutes les machines pour que celles-ci puissent communiquer sur SSL.
```
vecs-cli entry delete --store MACHINE_SSL_CERT --alias __MACHINE_CERT
vecs-cli entry create --store MACHINE_SSL_CERT --alias __MACHINE_CERT --cert <cert-file-path>
--key <key-file-path>
```
Redémarrez tous les services.
```
service-control --start --all
```

Exemple : Remplacer les certificats SSL de machine par des certificats personnalisés

Cet exemple montre comment remplacer le certificat SSL de machine par un certificat personnalisé dans une installation Windows. Vous pouvez remplacer le certificat SSL de machine sur chaque nœud en suivant la même procédure.

Tout d'abord, supprimez le certificat existant dans VECS.

"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry delete --store MACHINE_SSL_CERT --alias __MACHINE_CERT

Ensuite, ajoutez le certificat de remplacement.

"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry create --store MACHINE_SSL_CERT --alias __MACHINE_CERT --cert E:\custom-certs\ms-ca\signed-ssl\custom-w1-vim-cat-dhcp-094.eng.vmware.com.crt --key E:\custom-certs\ms-ca\signed-ssl\custom-x3-vim-cat-dhcp-1128.vmware.com.priv