Vous pouvez utiliser vSphere Certificate Manager pour générer des demandes de signature de certificat. Soumettez ces demandes de signature de certificat à l'autorité de certification de votre entreprise ou à une autorité de certification externe pour une signature. Vous pouvez utiliser les certificats signés avec les différents processus de remplacement de certificat pris en charge.

  • Vous pouvez utiliser vSphere Certificate Manager pour générer la demande de signature de certificat.
  • Si vous préférez créer la demande de signature de certificat manuellement, le certificat envoyé pour signature doit satisfaire les conditions suivantes :
    • Taille de clé : de 2 048 bits (minimum) à 16 384 bits (maximum) (codée au format PEM)
    • Format PEM. VMware prend en charge PKCS8 et PKCS1 (clés RSA). Lorsque des clés sont ajoutées à VECS, elles sont converties en PKCS8.
    • x509 version 3
    • L‘extension d'autorité de certification doit être définie sur true pour les certificats racines et la signature de certification doit figurer dans la liste de conditions requises. Par exemple :
      basicConstraints        = critical,CA:true
      keyUsage                = critical,digitalSignature,keyCertSign
    • La signature CRL doit être activée.
    • Le champ Utilisation étendue de la clé peut être vide ou contenir la valeur du champ Authentification du serveur.
    • Aucune limite explicite à la longueur de la chaîne de certificats. VMCA utilise la valeur par défaut OpenSSL, qui est 10 certificats.
    • Les certificats incluant des caractères génériques ou plusieurs noms DNS ne sont pas pris en charge.
    • Vous ne pouvez pas créer d'autorités de certification filiales de VMCA.

      Reportez-vous à l'article « Creating a Microsoft Certificate Authority Template for SSL certificate creation in vSphere 6.x » de la base de connaissances VMware à l'adresse http://kb.vmware.com/kb/2112009 pour consulter un exemple d'utilisation de l'autorité de certification Microsoft.

Conditions préalables

vSphere Certificate Manager vous invite à fournir des informations. Les invites dépendent de votre environnement et du type de certificat que vous souhaitez remplacer.

Pour la génération d'une demande de signature de certificat, vous êtes invité à entrer le mot de passe de l'utilisateur administrator@vsphere.local ou de l'administrateur du domaine vCenter Single Sign-On auquel vous vous connectez.

Procédure

  1. Exécutez vSphere Certificate Manager.
    /usr/lib/vmware-vmca/bin/certificate-manager
  2. Sélectionnez l'option 2.
    Initialement, vous utilisez cette option pour générer la demande de signature de certificat, pas pour remplacer des certificats.
  3. Fournissez le mot de passe et l'adresse IP ou le nom d'hôte de vCenter Server, si vous y êtes invité.
  4. Sélectionnez l'option 1 pour générer la demande de signature de certificat et répondez aux invites.
    Dans le cadre du processus, vous devez fournir un répertoire. Certificate Manager place le certificat à signer (fichier *.csr) et le fichier de clés correspondant (fichier *.key) dans le répertoire.
  5. Nom de la demande de signature de certificat (CSR) root_signing_cert.csr.
  6. Envoyez la demande CSR à votre entreprise ou à l'autorité de certification externe pour obtenir la signature et nommez le certificat signé root_signing_cert.cer.
  7. Dans un éditeur de texte, combinez les certificats de la façon suivante.
    -----BEGIN CERTIFICATE-----
    Signed VMCA root certificate
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    CA intermediate certificates
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    Root certificate of enterprise or external CA
    -----END CERTIFICATE-----
  8. Enregistrez le fichier en tant que root_signing_chain.cer.

Que faire ensuite

Remplacez le certificat racine existant par le certificat racine chaîné. Reportez-vous à la section Remplacer le certificat racine VMCA par un certificat de signature personnalisé et remplacer tous les certificats.