Par défaut, le serveur Auto Deploy provisionne chaque hôte avec des certificats signés par VMCA. Vous pouvez configurer le serveur Auto Deploy de manière à provisionner tous les hôtes à l'aide de certificats personnalisés non signés par VMCA. Dans ce scénario, le serveur Auto Deploy devient une autorité de certification subordonnée de l'autorité de certification tierce.
Conditions préalables
- Demandez un certificat à votre autorité de certification. Le certificat doit répondre aux conditions suivantes.
- Taille de clé : 2 048 bits ou plus (codée au format PEM)
- Format PEM. VMware prend en charge PKCS8 et PKCS1 (clés RSA). Lorsque des clés sont ajoutées à VECS, elles sont converties en PKCS8.
- x509 version 3
- Pour les certificats racines, l'extension d'autorité de certification doit être définie sur vrai et la signature de certification doit figurer dans la liste de conditions requises.
- SubjectAltName doit contenir DNS Name=<machine_FQDN>.
- Format CRT
- Contient les utilisations de clé suivantes : signature numérique, non-répudiation, chiffrement de la clé
- Heure de début antérieure d'un jour à l'heure actuelle.
- CN (et SubjectAltName) défini sur le nom de l'hôte (ou l'adresse IP) de l'hôte ESXi dans l'inventaire vCenter Server.
- Nom du certificat et fichiers de clés rbd-ca.crt et rbd-ca.key.
Procédure
- Sauvegardez les certificats ESXi par défaut.
Les certificats se trouvent dans le répertoire
/etc/vmware-rbd/ssl/.
- Arrêtez le service vSphere Authentication Proxy.
Outil |
Étapes |
Interface de gestion de vCenter Server Appliance (VAMI) |
- Dans un navigateur Web, accédez à l'interface de gestion de vCenter Server Appliance, https:// appliance-IP-address-or-FQDN:5480.
- Connectez-vous en tant qu'utilisateur racine.
Le mot de passe racine par défaut est le mot de passe que vous définissez lors du déploiement de vCenter Server Appliance.
- Cliquez sur Services, puis sur le service VMware vSphere Authentication Proxy.
- Cliquez sur Arrêter.
|
vSphere Web Client |
- Sélectionnez Administration, puis cliquez sur Configuration système sous Déploiement.
- Cliquez sur Services, puis sur le service VMware vSphere Authentication Proxy.
- Cliquez sur l'icône rouge Arrêter le service.
|
CLI |
service-control --stop vmcam
|
- Sur le système qui exécute le service Auto Deploy, dans /etc/vmware-rbd/ssl/, remplacez rbd-ca.crt et rbd-ca.key par votre certificat personnalisé et vos fichiers de clés.
- Sur le système sur lequel s'exécute le service Auto Deploy, exécutez les commande suivantes pour mettre à jour le magasin TRUSTED_ROOTS dans VECS afin d'utiliser vos nouveaux certificats.
Option |
Description |
Windows |
cd "C:\Program Files\VMware\vCenter Server\vmafdd\"
.\dir-cli.exe trustedcert publish --cert C:\ProgramData\VMware\vCenterServer\data\autodeploy\ssl\rbd-ca.crt
.\vecs-cli force-refresh |
Linux |
/usr/lib/vmware-vmafd/bin/dir-cli trustedcert publish --cert /etc/vmware-rbd/ssl/rbd-ca.crt
/usr/lib/vmware-vmafd/bin/vecs-cli force-refresh |
- Créez un fichier castore.pem contenant ce qui se trouve dans le magasin TRUSTED_ROOTS et placez le fichier dans le répertoire /etc/vmware-rbd/ssl/.
En mode personnalisé, vous êtes responsable de la gestion de ce fichier.
- Définissez le mode de certificat ESXi du système vCenter Server sur Personnalisé.
- Redémarrez le service vCenter Server et démarrez le service Auto Deploy.
Résultats
La prochaine fois que vous provisionnez un hôte configuré pour utiliser Auto Deploy, le serveur Auto Deploy génère un certificat. Le serveur Auto Deploy utilise le certificat racine que vous venez d'ajouter au magasin TRUSTED_ROOTS.
Note : Si vous rencontrez des problèmes avec Auto Deploy après le remplacement des certificats, reportez-vous à l'article de la base de connaissances VMware à l'adresse
http://kb.vmware.com/kb/2000988.