Les exigences en matière de certificats varient si vous utilisez VMCA comme autorité de certification intermédiaire ou si vous utilisez des certificats personnalisés. Les exigences sont également différentes pour les certificats de machine et pour les certificats d'utilisateur de solution.

Avant de commencer, assurez-vous que l'heure est synchronisée sur tous les nœuds de votre environnement.

Exigences pour tous les certificats importés

  • Taille de clé : 2 048 bits ou plus (codée au format PEM)
  • Format PEM. VMware prend en charge PKCS8 et PKCS1 (clés RSA). Lorsque vous ajoutez des clés à VECS, elles sont converties en PKCS8.
  • x509 version 3
  • SubjectAltName doit contenir DNS Name=machine_FQDN
  • Format CRT
  • Contient les utilisations de clé suivantes : signature numérique, chiffrement de clé.
  • Utilisation étendue de la clé peut être vide ou contenir l'authentification du serveur.
vSphere ne prend pas en charge les certificats suivants.
  • Certificats comportant des caractères génériques.
  • Les algorithmes md2WithRSAEncryption 1.2.840.113549.1.1.2, md5WithRSAEncryption 1.2.840.113549.1.1.4 et sha1WithRSAEncryption 1.2.840.113549.1.1.5 ne sont pas recommandés.
  • L'algorithme RSASSA-PSS avec OID 1.2.840.113549.1.1.10 n'est pas pris en charge.

Conformité du certificat à RFC 2253

Le certificat doit être conforme à la norme RFC 2253.

Si vous ne générez pas de demande de signature de certificat à l'aide de Certificate Manager, assurez-vous que la demande comprend les champs suivants.

String AttributeType X.500
CN commonName
L localityName
ST stateOrProvinceName
O organizationName
OU organizationalUnitName
C countryName
STREET streetAddress
DC domainComponent
UID userid
Si vous générez des demandes de signature de certificat à l'aide de Certificate Manager, vous êtes invité à entrer les informations suivantes, et Certificate Manager ajoute les champs correspondants dans le fichier CSR.
  • Mot de passe de l'utilisateur [email protected] ou de l'administrateur du domaine vCenter Single Sign-On auquel vous vous connectez.
  • Si vous générez une demande de signature de certificat dans un environnement avec une instance de Platform Services Controller externe, vous êtes invité à entrer le nom d'hôte ou l'adresse IP de Platform Services Controller.
  • Informations que Certificate Manager enregistre dans le fichier certool.cfg. Pour la plupart des champs, vous pouvez accepter les valeurs par défaut ou entrer des valeurs spécifiques au site. Le FQDN de la machine est requis.
    • Mot de passe pour [email protected].
    • Code pays à deux lettres
    • Nom de la société
    • Nom de l'organisation
    • Unité d'organisation
    • État
    • Ville
    • Adresse IP (facultatif)
    • E-mail
    • Nom de l'hôte, à savoir le nom de domaine complet de la machine dont vous souhaitez remplacer le certificat. Si le nom de l'hôte ne correspond pas au nom de domaine complet, le remplacement du certificat ne se fait pas correctement et votre environnement risque de devenir instable.
    • Adresse IP de Platform Services Controller si vous exécutez la commande sur un nœud de gestion vCenter Server.

Exigences lorsque VMCA est utilisé comme autorité de certification intermédiaire

Lorsque vous utilisez VMCA comme autorité de certification intermédiaire, les certificats doivent répondre aux exigences suivantes.
Type de certificat Exigences en matière de certificats
Certificat racine
  • Vous pouvez utiliser vSphere Certificate Manager pour générer la demande de signature de certificat. Reportez-vous à la section Générer une demande de signature de certificat avec vSphere Certificate Manager et préparer un certificat racine (autorité de certification intermédiaire).
  • Si vous préférez créer la demande de signature de certificat manuellement, le certificat envoyé pour signature doit satisfaire les conditions suivantes :
    • Taille de clé : 2 048 bits ou plus
    • Format PEM. VMware prend en charge PKCS8 et PKCS1 (clés RSA). Lorsque des clés sont ajoutées à VECS, elles sont converties en PKCS8.
    • x509 version 3
    • Si vous utilisez des certificats personnalisés, l'extension d'autorité de certification doit être définie sur vrai, pour les certificats racine, et la signature de certification doit figurer dans la liste de conditions requises.
    • La signature CRL doit être activée.
    • Utilisation étendue de la clé peut être vide ou contenir l'authentification du serveur.
    • Aucune limite explicite à la longueur de la chaîne de certificats. VMCA utilise la valeur par défaut OpenSSL, qui est 10 certificats.
    • Les certificats incluant des caractères génériques ou plusieurs noms DNS ne sont pas pris en charge.
    • Vous ne pouvez pas créer d'autorités de certification filiales de VMCA.

      Reportez-vous à l'article « Creating a Microsoft Certificate Authority Template for SSL certificate creation in vSphere 6.0 » de la base de connaissances VMware à l'adresse http://kb.vmware.com/kb/2112009 pour consulter un exemple d'utilisation de l'autorité de certification Microsoft.

Certificat SSL de machine

Vous pouvez utiliser vSphere Certificate Manager pour créer la demande de signature de certificat ou pour créer manuellement la demande de signature de certificat.

Si vous créez manuellement la demande de signature de certificat, elle doit répondre aux exigences répertoriées précédemment sous Exigences pour tous les certificats importés. Vous devez également spécifier le nom de domaine complet de l'hôte.

Certificat d'utilisateur de solution

Vous pouvez utiliser vSphere Certificate Manager pour créer la demande de signature de certificat ou pour créer manuellement la demande de signature de certificat.

Note : Vous devez utiliser une valeur différente pour le nom de chaque utilisateur de solution. Si vous générez le certificat manuellement, il peut s'afficher comme CN sous Objet, en fonction de l'outil que vous utilisez.

Si vous utilisez vSphere Certificate Manager, l'outil vous invite à entrer les informations de certificat pour chaque utilisateur de solution. vSphere Certificate Manager stocke les informations dans certool.cfg. Consultez la section Informations requises par Certificate Manager.

Exigences pour les certificats personnalisés

Lorsque vous voulez utiliser des certificats personnalisés, ils doivent répondre aux exigences suivantes.
Type de certificat Exigences en matière de certificats
Certificat SSL de machine Le certificat SSL de machine sur chaque nœud doit avoir un certificat distinct de votre autorité de certification d'entreprise ou tierce.
  • Vous pouvez générer la demande de signature de certificat à l'aide de vSphere Client ou vSphere Certificate Manager, ou en créer une manuellement. La demande de signature de certificat doit répondre aux exigences répertoriées précédemment sous Exigences pour tous les certificats importés.
  • Si vous utilisez vSphere Certificate Manager, l'outil vous invite à entrer les informations de certificat pour chaque utilisateur de solution. vSphere Certificate Manager stocke les informations dans certool.cfg. Consultez la section Informations requises par Certificate Manager.
  • Pour la plupart des champs, vous pouvez accepter les valeurs par défaut ou entrer des valeurs spécifiques au site. Le FQDN de la machine est requis.
Certificat d'utilisateur de solution Chaque utilisateur de solution sur chaque nœud doit avoir un certificat distinct de votre autorité de certification d'entreprise ou tierce.
  • Vous pouvez générer les demandes de signature de certificat à l'aide de vSphere Certificate Manager ou en préparer une vous-même. La demande de signature de certificat doit répondre aux exigences répertoriées précédemment sous Exigences pour tous les certificats importés.

  • Si vous utilisez vSphere Certificate Manager, l'outil vous invite à entrer les informations de certificat pour chaque utilisateur de solution. vSphere Certificate Manager stocke les informations dans certool.cfg. Consultez la section Informations requises par Certificate Manager.

    Note : Vous devez utiliser une valeur différente pour le nom de chaque utilisateur de solution. Un certificat généré manuellement peut s'afficher comme CN sous Objet, en fonction de l'outil que vous utilisez.

Lorsque vous remplacez ultérieurement les certificats d'utilisateurs de solution par des certificats personnalisés, indiquez la chaîne de certificats de signature complète de l'autorité de certification tierce.

Note : N'utilisez pas les points de distribution CRL, l'accès aux informations de l'autorité ni les informations de modèle de certificat dans les certificats personnalisés.