Vous pouvez afficher et gérer des certificats à l'aide de vSphere Client. Vous pouvez également effectuer plusieurs tâches de gestion des certificats avec l'utilitaire vSphere Certificate Manager.

vSphere Client vous permet d'effectuer ces tâches de gestion.
  • Affichez les certificats racines approuvés et les certificats SSL.
  • Renouvelez les certificats existants ou remplacez des certificats.
  • Générez une demande de signature de certificat (CSR) personnalisée pour un certificat SSL de machine et remplacez le certificat lorsque l'autorité de certification le renvoie.

Les workflows de remplacement de certificat sont en grande partie entièrement pris en charge à partir de vSphere Client. Pour la génération de demandes de signature de certificat pour les certificats SSL de machine, vous pouvez utiliser vSphere Client ou l'utilitaire de gestion de certificats.

Workflows pris en charge

Après l'installation d'une instance de Platform Services Controller, VMware Certificate Authority sur ce nœud provisionne tous les autres nœuds de l'environnement avec des certificats par défaut. Reportez-vous à la section Certificats de sécurité vSphere pour obtenir les recommandations actuelles pour la gestion des certificats.

Vous pouvez utiliser l'un des workflows suivants pour renouveler ou remplacer des certificats.
Renouveler les certificats
Vous pouvez demander à VMCA de renouveler les certificats SSL et d'utilisateur de solution dans votre environnement depuis vSphere Client.
Faire de VMCA une autorité de certificat intermédiaire
Vous pouvez générer une demande de signature de certificat à l'aide de l'utilitaire vSphere Certificate Manager. Vous pouvez ensuite modifier le certificat que vous avez reçu de CSR pour ajouter VMCA à la chaîne, puis ajouter la chaîne de certificats et la clé privée à votre environnement. Lorsque vous renouvelez tous les certificats, VMCA provisionne toutes les machines et tous les utilisateurs de solutions avec des certificats qui sont signés par la chaîne complète.
Remplacer des certificats par des certificats personnalisés
Si vous ne souhaitez pas utiliser VMCA, vous pouvez générer des demandes de signature de certificat pour les certificats que vous souhaitez remplacer. L'autorité de certification renvoie un certificat racine et un certificat signé pour chaque demande de signature de certificat. Vous pouvez télécharger le certificat racine et les certificats personnalisés à partir de Platform Services Controller.
Note : Si vous utilisez VMCA comme autorité de certification intermédiaire ou que vous utilisez des certificats personnalisés, vous vous exposez à plus de complexité et un risque potentiel pour votre sécurité, ce qui représente une augmentation inutile dans vos risques opérationnels. Pour plus d'informations sur la gestion des certificats dans un environnement vSphere, consultez le blog intitulé Nouvelle procédure produit - Remplacement hybride des certificats SSL vSphere à l'adresse http://vmware.com/go/hybridvmca.

Dans un environnement mixte, vous pouvez utiliser des commandes d'interface de ligne de commande pour remplacer le certificat vCenter Single Sign-On après le remplacement des autres certificats. Reportez-vous à la section Remplacer le certificat VMware Directory Service dans des environnement en mode mixte.