La première étape du remplacement des certificats VMCA par des certificats personnalisés génère une demande de signature de certificat, qui est envoyée pour être signée. Ajoutez ensuite le certificat signé à VMCA en tant que certificat racine.

Vous pouvez utiliser l'utilitaire Certificate Manager ou un autre outil pour générer la demande de signature de certificat. La demande de signature de certificat doit répondre à la configuration requise suivante :
  • Taille de clé : de 2 048 bits (minimum) à 16 384 bits (maximum) (codée au format PEM)
  • Format PEM. VMware prend en charge PKCS8 et PKCS1 (clés RSA). Lorsque des clés sont ajoutées à VECS, elles sont converties en PKCS8.
  • x509 version 3
  • L‘extension d'autorité de certification doit être définie sur true pour les certificats racines et la signature de certification doit figurer dans la liste de conditions requises. Par exemple :
    basicConstraints        = critical,CA:true
keyUsage                = critical,digitalSignature,keyCertSign
  • La signature CRL doit être activée.
  • Le champ Utilisation étendue de la clé peut être vide ou contenir la valeur du champ Authentification du serveur.
  • Aucune limite explicite à la longueur de la chaîne de certificats. VMCA utilise la valeur par défaut OpenSSL, qui est 10 certificats.
  • Les certificats incluant des caractères génériques ou plusieurs noms DNS ne sont pas pris en charge.
  • Vous ne pouvez pas créer d'autorités de certification filiales de VMCA.

    Reportez-vous à l'article « Creating a Microsoft Certificate Authority Template for SSL certificate creation in vSphere 6.x » de la base de connaissances VMware à l'adresse http://kb.vmware.com/kb/2112009 pour consulter un exemple d'utilisation de l'autorité de certification Microsoft.

VMCA valide les attributs suivants du certificat lorsque vous remplacez le certificat racine :
  • Taille de clé : de 2 048 bits (minimum) à 16 384 bits (maximum)
  • Utilisation de clé : signature de certification
  • Contrainte de base : autorité de certification du type de sujet

Procédure

  1. Générez une demande de signature de certificat et envoyez-la à votre autorité de certification.
    Suivez les instructions de votre autorité de certification.
  2. Préparez un fichier de certificat qui inclut le certificat signé par VMCA et la chaîne d'autorité de certification complète de votre autorité de certification tierce ou d'entreprise. Enregistrez le fichier, par exemple en tant que rootca1.crt.
    Vous pouvez effectuer cette étape en copiant tous les certificats de l'autorité de certification au format PEM dans un fichier unique. Vous démarrez avec le certificat racine VMCA et terminez avec le certificat racine de l'autorité de certification au format PEM. Par exemple : 
    -----BEGIN CERTIFICATE-----
<Certificate of VMCA>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<Certificate of intermediary CA>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<Certificate of Root CA>
-----END CERTIFICATE-----
  3. Arrêtez tous les services et démarrez ceux qui gèrent la création, la propagation et le stockage des certificats. 
    service-control --stop --all
service-control --start vmafdd
service-control --start vmdird
service-control --start vmcad
  4. Remplacez l'autorité de certification racine VMCA existante. 
    certool --rootca --cert=rootca1.crt --privkey=root1.key
    Lorsque vous exécutez cette commande, elle :
    • Ajoute le nouveau certificat racine personnalisé à l'emplacement des certificats dans le système de fichiers.
    • Ajoute le certificat racine personnalisé au magasin TRUSTED_ROOTS dans VECS (après un délai).
    • Ajoute le certificat racine personnalisé à vmdir (après un délai).
  5. (Facultatif) Pour propager le changement à toutes les instances de vmdir (VMware Directory Service), publiez le nouveau certificat racine dans vmdir, en fournissant le chemin complet de chaque fichier.
    Par exemple, si le certificat dispose d'un seul certificat dans la chaîne : 
    dir-cli trustedcert publish --cert rootca1.crt
    Si le certificat dispose de plusieurs certificats dans la chaîne : 
    dir-cli trustedcert publish --cert rootcal.crt --chain
    La réplication entre les nœuds vmdir se produit toutes les 30 secondes. Il n'est pas nécessaire d'ajouter le certificat racine à VECS de façon explicite, car VECS interroge vmdir concernant les fichiers de certificat racine toutes les 5 minutes.
  6. (Facultatif) Le cas échéant, vous pouvez forcer une opération d'actualisation de VECS. 
    vecs-cli force-refresh
  7. Redémarrez tous les services. 
    service-control --start --all

Exemple : Remplacement du certificat racine

Remplacez le certificat racine VMCA par le certificat racine VMCA personnalisé en utilisant la commande certool avec l'option --rootca. 

/usr/lib/vmware-vmca/bin/certool --rootca --cert=<path>/root.pem -–privkey=<path>/root.key
Lorsque vous exécutez cette commande, elle :
  • Ajoute le nouveau certificat racine personnalisé à l'emplacement des certificats dans le système de fichiers.
  • Ajoute le certificat racine personnalisé au magasin TRUSTED_ROOTS dans VECS.
  • Ajoute le certificat racine personnalisé à vmdir.

Que faire ensuite

Vous pouvez supprimer le certificat racine VMCA initial du magasin de certificats si la stratégie de votre entreprise l'exige. Dans ce cas, vous devez remplacer le certificat de signature de vCenter Single Sign-On. Reportez-vous à la section Remplacer un certificat STS vCenter Server à l'aide de la ligne de commande.