Dans vSphere 6.0 et versions ultérieures, VMware Certificate Authority (VMCA) provisionne chaque nouvel hôte ESXi avec un certificat signé dont VMCA est l'autorité de certification racine par défaut. Le provisionnement s'effectue lorsque l'hôte est explicitement ajouté à vCenter Server ou dans le cadre d'une installation ou d'une mise à niveau vers ESXi 6.0 ou version ultérieure.
Vous pouvez afficher et gérer les certificats ESXi depuis vSphere Client et en utilisant l'API vim.CertificateManager dans vSphere Web Services SDK. Vous ne pouvez pas afficher ou gérer des certificats ESXi à l'aide des interfaces de ligne de commande de gestion de certificats disponibles pour la gestion des certificats vCenter Server.
Certificats dans vSphere 5.5 et dans vSphere 6.x
Lorsqu'ESXi et vCenter Server communiquent, ils utilisent les protocoles TLS/SSL pour presque l'ensemble du trafic de gestion.
Dans vSphere 5.5 et versions antérieures, les points de terminaison TLS/SSL sont sécurisés uniquement par une combinaison de nom d'utilisateur, mot de passe et empreinte. Les utilisateurs peuvent remplacer les certificats autosignés correspondants par leur propres certificats. Reportez-vous au Centre de documentation vSphere 5.5.
Mode de certificat | Description |
---|---|
VMware Certificate Authority (par défaut) | Utilisez ce mode si VMCA provisionne tous les hôtes ESXi, comme autorité de certification de niveau supérieur ou comme autorité de certification intermédiaire. Par défaut, VMCA provisionne les hôtes ESXi avec des certificats. Dans ce mode, vous pouvez actualiser et renouveler les certificats dans vSphere Client. |
Autorité de certification personnalisée | Utilisez ce mode si vous souhaitez uniquement utiliser des certificats personnalisés qui sont signés par une autorité de certification tierce ou de l'entreprise.
Dans ce mode, vous êtes responsable de la gestion des certificats. Vous ne pouvez pas actualiser et renouveler des certificats dans
vSphere Client.
Note : Sauf si vous définissez le mode de certificat sur Autorité de certification personnalisée, VMCA peut remplacer des certificats personnalisés, notamment lorsque vous sélectionnez
Renouveler dans
vSphere Client.
|
Mode d'empreinte | vSphere 5.5 utilisait le mode empreinte numérique. Ce mode reste disponible en tant qu'option de repli pour vSphere 6.x. Dans ce mode, vCenter Server s'assure que le certificat est formaté correctement, mais ne vérifie pas sa validité. Même les certificats expirés sont acceptés. N'utilisez ce mode que si vous rencontrez des problèmes que vous ne pouvez pas résoudre avec l'un des deux autres modes. Certains services vCenter 6.x et versions ultérieures ne fonctionnent pas correctement en mode d'empreinte. |
Expiration du certificat
À partir de vSphere 6.0, vous pouvez afficher des informations sur l'expiration des certificats qui sont signés par VMCA ou par une autorité de certification tierce dans vSphere Client. Vous pouvez afficher les informations de tous les hôtes qui sont gérés par un système vCenter Server ou les informations d'hôtes individuels. Une alarme jaune se déclenche si le certificat est dans l'état Expiration prochaine (inférieure à huit mois). Une alarme rouge se déclenche si le certificat est dans l'état Expiration imminente (inférieure à deux mois).
Provisionnement d'ESXi et VMCA
Lorsque vous démarrez un hôte ESXi à partir d'un support d'installation, l'hôte dispose initialement d'un certificat automatiquement généré. Lorsque l'hôte est ajouté au système vCenter Server, il est provisionné avec un certificat signé par VMCA comme autorité de certification racine.
Le processus est similaire pour les hôtes qui sont provisionnés avec Auto Deploy. Cependant, comme ces hôtes ne stockent pas d'état, le certificat signé est stocké par le serveur Auto Deploy dans son magasin de certificats local. Le certificat est réutilisé lors des démarrages suivants des hôtes ESXi. Un serveur Auto Deploy fait partie d'un déploiement intégré ou d'un système vCenter Server.
Si VMCA n'est pas disponible lorsqu'un hôte Auto Deploy démarre pour la première fois, l'hôte tente de se connecter en premier lieu. Si cet hôte ne peut pas se connecter, il alterne les arrêts et les redémarrages jusqu'à ce que VMCA devienne disponible et que l'hôte soit provisionné avec un certificat signé.
Privilèges requis pour la gestion des certificats de ESXi
Pour la gestion des certificats des hôtes ESXi, vous devez disposer du privilège . Vous pouvez définir ce privilège à partir de vSphere Client.
Modifications de nom d'hôte et d'adresse IP
Dans vSphere 6.0 et versions ultérieures, une modification de nom d'hôte ou d'adresse IP peut déterminer si vCenter Server considère valide le certificat d'un hôte. Le mode d'ajout de l'hôte à vCenter Server détermine si une intervention manuelle est nécessaire. Lors d'une intervention manuelle, vous reconnectez l'hôte, ou vous le supprimez de vCenter Server et le rajoutez.
Hôte ajouté à vCenter Server à l'aide de... | Modifications de nom d'hôte | Modifications d'adresse IP |
---|---|---|
Nom d'hôte | Problème de connectivité de vCenter Server. Intervention manuelle requise. | Aucune intervention requise. |
Adresse IP | Aucune intervention requise. | Problème de connectivité de vCenter Server. Intervention manuelle requise. |