Après avoir remplacé les certificats SSL de la machine, vous pouvez remplacer tous les certificats des utilisateurs de solutions. Les certificats d'utilisateurs de solutions doivent être valides (ils ne sont pas arrivés à expiration), mais l'infrastructure de certificats n'utilise aucune des autres informations d'un certificat.

De nombreux clients VMware ne remplacent pas les certificats d'utilisateur de solution. Ils se contentent de remplacer les certificats SSL de la machine par des certificats personnalisés. Cette approche hybride répond aux exigences de leurs équipes de sécurité.
  • Les certificats se trouvent derrière un proxy, ou ce sont des certificats personnalisés.
  • Aucune autorité de certification intermédiaire n'est utilisée.

Vous remplacez le certificat d'utilisateur de solution de machine et le certificat d'utilisateur de solution sur chaque système vCenter Server.

Note : Lorsque vous répertoriez les certificats d'utilisateurs de solutions dans des déploiements importants, le résultat de dir-cli list inclut tous les utilisateurs de solutions de tous les nœuds. Exécutez vmafd-cli get-machine-id --server-name localhost pour rechercher l'ID de machine locale de chaque hôte. Chaque nom d'utilisateur de solution comprend l'ID de machine.

Conditions préalables

Soyez prêt à arrêter tous les services et à démarrer ceux qui gèrent la propagation et le stockage des certificats.

Procédure

  1. Faites une copie de certool.cfg, supprimez les champs Nom, Adresse IP, Nom DNS et E-mail, puis remplacez le nom du fichier par sol_usr.cfg, par exemple.
    Vous pouvez nommer les certificats de la ligne de commande dans le cadre de la génération. Les autres informations ne sont pas nécessaires pour les utilisateurs de la solution. Si vous laissez les informations par défaut, les certificats générés peuvent être source de confusion.
  2. Générez une paire de fichiers de clé publique/privée et un certificat pour chaque utilisateur de solution, puis transmettez le fichier de configuration que vous venez de personnaliser.
    Par exemple : 
    certool --genkey --privkey=vpxd.priv --pubkey=vpxd.pub 
certool --gencert --privkey=vpxd.priv --cert vpxd.crt --Name=VPXD_1 --config sol_usr.cfg
  3. Recherchez le nom de chaque utilisateur de la solution. 
    dir-cli service list
    Vous pouvez utiliser l'ID unique renvoyé lorsque vous remplacez les certificats. L'entrée et la sortie peuvent se présenter comme suit. 
    dir-cli service list
Enter password for [email protected]:
1. machine-623bef28-0311-436e-b21f-6e0d39aa5179
2. vsphere-webclient-623bef28-0311-436e-b21f-6e0d39aa5179
3. vpxd-623bef28-0311-436e-b21f-6e0d39aa5179
4. vpxd-extension-623bef28-0311-436e-b21f-6e0d39aa5179
5. hvc-623bef28-0311-436e-b21f-6e0d39aa5179
6. wcp-1cbe0a40-e4ce-4378-b5e7-9460e2b8200e
    Dans un déploiement de plusieurs instances de vCenter Server connectées dans une configuration Enhanced Linked Mode, la sortie de dir-cli service list inclut tous les utilisateurs de solution de tous les nœuds. Exécutez vmafd-cli get-machine-id --server-name localhost pour rechercher l'ID de machine locale de chaque hôte. Chaque nom d'utilisateur de solution comprend l'ID de machine.
  4. Arrêtez tous les services et démarrez ceux qui gèrent la création, la propagation et le stockage des certificats. 
    service-control --stop --all
service-control --start vmafdd
service-control --start vmdird
service-control --start vmcad
  5. Pour chaque utilisateur de solution, remplacez le certificat existant dans vmdir, puis dans VECS.
    L'exemple suivant indique comment remplacer les certificats pour le service vpxd. 
    dir-cli service update --name <vpxd-xxxx-xxx-7c7b769cd9f4> --cert ./vpxd.crt
vecs-cli entry delete --store vpxd --alias vpxd
vecs-cli entry create --store vpxd --alias vpxd --cert vpxd.crt --key vpxd.priv
    Note : Les utilisateurs de solutions ne peuvent pas s'authentifier auprès de vCenter Single Sign-On si vous ne remplacez pas le certificat dans vmdir.
  6. Redémarrez tous les services. 
    service-control --start --all

Exemple : Utilisation des certificats d'utilisateurs de solutions signés par VMCA

  1. Générez une paire de clé publique/privée pour chaque utilisateur de solution sur chaque nœud vCenter Server dans une configuration Enhanced Linked Mode. Cela inclut une paire pour la solution de machine et une paire pour chaque utilisateur de solution supplémentaire (vpxd, vpxd-extension, vsphere-webclient, wcp).
    1. Générez une paire de clés pour l'utilisateur de solution de machine. 
      /usr/lib/vmware-vmca/bin/certool --genkey --privkey=machine-key.priv --pubkey=machine-key.pub
    2. Générez une paire de clés pour l'utilisateur de solution vpxd sur chaque nœud. 
      /usr/lib/vmware-vmca/bin/certool --genkey --privkey=vpxd-key.priv --pubkey=vpxd-key.pub
    3. Générez une paire de clés pour l'utilisateur de solution vpxd-extension sur chaque nœud. 
      /usr/lib/vmware-vmca/bin/certool --genkey --privkey=vpxd-extension-key.priv --pubkey=vpxd-extension-key.pub
    4. Générez une paire de clés pour l'utilisateur de solution vsphere-webclient sur chaque nœud. 
      /usr/lib/vmware-vmca/bin/certool --genkey --privkey=vsphere-webclient-key.priv --pubkey=vsphere-webclient-key.pub
    5. Générez une paire de clés pour l'utilisateur de solution wcp sur chaque nœud. 
      /usr/lib/vmware-vmca/bin/certool --genkey --privkey=wcp-key.priv --pubkey=wcp-key.pub
  2. Générez des certificats d'utilisateurs de solutions qui sont signés par le nouveau certificat racine VMCA pour l'utilisateur de solution de machine et pour chaque utilisateur de solution supplémentaire (vpxd, vpxd-extension, vsphere-webclient, wcp) sur chaque nœud vCenter Server.
    Note : Le paramètre --Name doit être unique. Le fait d'inclure le nom du magasin de l'utilisateur de solution permet de voir facilement la correspondance entre un certificat et un utilisateur de solution. L'exemple inclut le nom, par exemple vpxd ou vpxd-extension, dans chaque cas.
    1. Exécutez la commande suivante pour générer un certificat d'utilisateur de solution pour l'utilisateur de solution de machine sur ce nœud. 
      /usr/lib/vmware-vmca/bin/certool --gencert --cert=new-machine.crt --privkey=machine-key.priv --Name=machine
    2. Générez un certificat pour l'utilisateur de solution de machine sur chaque nœud. 
      /usr/lib/vmware-vmca/bin/certool --gencert --cert=new-machine.crt --privkey=machine-key.priv --Name=machine
    3. Générez un certificat pour l'utilisateur de solution vpxd sur chaque nœud. 
      /usr/lib/vmware-vmca/bin/certool --gencert --cert=new-vpxd.crt --privkey=vpxd-key.priv --Name=vpxd
    4. Générez un certificat pour l'utilisateur de solution vpxd-extensions sur chaque nœud. 
      /usr/lib/vmware-vmca/bin/certool --gencert --cert=new-vpxd-extension.crt --privkey=vpxd-extension-key.priv --Name=vpxd-extension
    5. Générez un certificat pour l'utilisateur de solution vsphere-webclient sur chaque nœud en exécutant la commande suivante. 
      /usr/lib/vmware-vmca/bin/certool --gencert --cert=new-vsphere-webclient.crt --privkey=vsphere-webclient-key.priv --Name=vsphere-webclient
    6. Générez un certificat pour l'utilisateur de solution wcp sur chaque nœud en exécutant les commandes suivantes.
      /usr/lib/vmware-vmca/bin/certool --gencert --cert=new-wcp.crt --privkey=wcp-key.priv --Name=wcp
  3. Remplacez les certificats d'utilisateurs de solutions dans VECS par les nouveaux certificats d'utilisateurs de solutions.
    Note : Les paramètres --store et --alias doivent correspondre exactement aux noms par défaut des services.
    1. Remplacez le certificat d'utilisateur de solution de machine sur chaque nœud : 
      /usr/lib/vmware-vmafd/bin/vecs-cli entry delete --store machine --alias machine
/usr/lib/vmware-vmafd/bin/vecs-cli entry create --store machine --alias machine --cert new-machine.crt --key machine-key.priv
    2. Remplacez le certificat d'utilisateur de solution vpxd sur chaque nœud. 
      /usr/lib/vmware-vmafd/bin/vecs-cli entry delete --store vpxd --alias vpxd
/usr/lib/vmware-vmafd/bin/vecs-cli entry create --store vpxd --alias vpxd --cert new-vpxd.crt --key vpxd-key.priv
    3. Remplacez le certificat d'utilisateur de solution vpxd-extension sur chaque nœud. 
      /usr/lib/vmware-vmafd/bin/vecs-cli entry delete --store vpxd-extension --alias vpxd-extension
/usr/lib/vmware-vmafd/bin/vecs-cli entry create --store vpxd-extension --alias vpxd-extension --cert new-vpxd-extension.crt --key vpxd-extension-key.priv
    4. Remplacez le certificat d'utilisateur de solution vsphere-webclient sur chaque nœud. 
      /usr/lib/vmware-vmafd/bin/vecs-cli entry delete --store vsphere-webclient --alias vsphere-webclient
/usr/lib/vmware-vmafd/bin/vecs-cli entry create --store vsphere-webclient --alias vsphere-webclient --cert new-vsphere-webclient.crt --key vsphere-webclient-key.priv
    5. Remplacez le certificat d'utilisateur de solution wcp sur chaque nœud.
      /usr/lib/vmware-vmafd/bin/vecs-cli entry delete --store wcp --alias wcp
/usr/lib/vmware-vmafd/bin/vecs-cli entry create --store wcp --alias wcp --cert new-wcp.crt --key wcp-key.priv
  4. Mettez à jour VMware Directory Service (vmdir) avec les nouveaux certificats d'utilisateurs de solutions. Vous êtes invité à entrer un mot de passe d'administrateur vCenter Single Sign-On.
    1. Exécutez dir-cli service list pour obtenir le suffixe d'ID de service unique pour chaque utilisateur de solution. Vous exécutez cette commande sur un système vCenter Server. 
      /usr/lib/vmware-vmafd/bin/dir-cli service list
output:
1. machine-623bef28-0311-436e-b21f-6e0d39aa5179
2. vsphere-webclient-623bef28-0311-436e-b21f-6e0d39aa5179
3. vpxd-623bef28-0311-436e-b21f-6e0d39aa5179
4. vpxd-extension-623bef28-0311-436e-b21f-6e0d39aa5179
5. hvc-623bef28-0311-436e-b21f-6e0d39aa5179
6. wcp-1cbe0a40-e4ce-4378-b5e7-9460e2b8200e
      Note : Lorsque vous répertoriez les certificats d'utilisateurs de solutions dans des déploiements importants, le résultat de dir-cli list inclut tous les utilisateurs de solutions de tous les nœuds. Exécutez vmafd-cli get-machine-id --server-name localhost pour rechercher l'ID de machine locale de chaque hôte. Chaque nom d'utilisateur de solution comprend l'ID de machine.
    2. Remplacez le certificat de machine dans vmdir sur chaque nœud vCenter Server. Par exemple, si machine-6fd7f140-60a9-11e4-9e28-005056895a69 correspond à l'utilisateur de solution de machine sur vCenter Server, exécutez la commande suivante : 
      /usr/lib/vmware-vmafd/bin/dir-cli service update --name machine-6fd7f140-60a9-11e4-9e28-005056895a69 --cert new-machine.crt
    3. Remplacez le certificat d'utilisateur de solution vpxd dans vmdir sur chaque nœud. Par exemple, si vpxd-6fd7f140-60a9-11e4-9e28-005056895a69 correspond à l'ID d'utilisateur de solution vpxd, exécutez la commande suivante : 
      /usr/lib/vmware-vmafd/bin/dir-cli service update --name vpxd-6fd7f140-60a9-11e4-9e28-005056895a69 --cert new-vpxd.crt
    4. Remplacez le certificat d'utilisateur de solution vpxd-extension dans vmdir sur chaque nœud. Par exemple, si vpxd-extension-6fd7f140-60a9-11e4-9e28-005056895a69 correspond à l'ID d'utilisateur de solution vpxd-extension, exécutez la commande suivante : 
      /usr/lib/vmware-vmafd/bin/dir-cli update --name vpxd-extension-6fd7f140-60a9-11e4-9e28-005056895a69 --cert new-vpxd-extension.crt
    5. Remplacez le certificat d'utilisateur de solution vsphere-webclient sur chaque nœud. Par exemple, si vsphere-webclient-6fd7f140-60a9-11e4-9e28-005056895a69 correspond à l'ID d'utilisateur de solution vsphere-webclient, exécutez la commande suivante : 
      /usr/lib/vmware-vmafd/bin/dir-cli service update --name vsphere-webclient-6fd7f140-60a9-11e4-9e28-005056895a69 --cert new-vsphere-webclient.crt
    6. Remplacez le certificat d'utilisateur de solution wcp sur chaque nœud. Par exemple, si wcp-1cbe0a40-e4ce-4378-b5e7-9460e2b8200e correspond à l'ID d'utilisateur de solution wcp, exécutez la commande suivante : 
      /usr/lib/vmware-vmafd/bin/dir-cli service update --name wcp-1cbe0a40-e4ce-4378-b5e7-9460e2b8200e --cert new-wcp.crt

Que faire ensuite

Redémarrez tous les services sur chaque nœud vCenter Server.