Vous pouvez afficher et gérer des certificats à l'aide de vSphere Client. Vous pouvez également effectuer plusieurs tâches de gestion des certificats avec l'utilitaire vSphere Certificate Manager.

vSphere Client vous permet d'effectuer ces tâches de gestion.
  • Affichez les certificats SSL, racines approuvés et du service d'émission de jeton de sécurité (STS, Security Token Service) de la machine.
  • Ajoutez de nouveaux certificats racines approuvés, puis renouvelez ou remplacez les certificats SSL et STS de machine existants.
  • Générez une demande de signature de certificat (CSR) personnalisée pour un certificat SSL de machine et remplacez le certificat lorsque l'autorité de certification le renvoie.

Les workflows de remplacement de certificat sont en grande partie entièrement pris en charge à partir de vSphere Client. Pour la génération de demandes de signature de certificat pour les certificats SSL de machine, vous pouvez utiliser vSphere Client ou l'utilitaire de gestion de certificats.

Workflows pris en charge

Après l'installation d'une instance de vCenter Server, VMware Certificate Authority sur ce nœud provisionne tous les autres nœuds de l'environnement avec des certificats par défaut. Reportez-vous à la section Certificats de sécurité vSphere pour obtenir les recommandations actuelles pour la gestion des certificats.

Vous pouvez utiliser l'un des workflows suivants pour renouveler ou remplacer des certificats.
Renouveler les certificats
Vous pouvez demander à VMCA de renouveler les certificats SSL, d'utilisateur de solution et STS dans votre environnement depuis vSphere Client.
Faire de VMCA une autorité de certificat intermédiaire
Vous pouvez générer une demande de signature de certificat à l'aide de l'utilitaire vSphere Certificate Manager. Vous pouvez ensuite modifier le certificat que vous avez reçu de CSR pour ajouter VMCA à la chaîne, puis ajouter la chaîne de certificats et la clé privée à votre environnement. Lorsque vous renouvelez tous les certificats, VMCA provisionne toutes les machines et tous les utilisateurs de solutions avec des certificats qui sont signés par la chaîne complète.
Remplacer des certificats par des certificats personnalisés
Si vous ne souhaitez pas utiliser VMCA, vous pouvez générer des demandes de signature de certificat pour les certificats que vous souhaitez remplacer. L'autorité de certification renvoie un certificat racine et un certificat signé pour chaque demande de signature de certificat. Vous pouvez télécharger le certificat racine et les certificats personnalisés à partir de vCenter Server.
Note : Si vous utilisez VMCA comme autorité de certification intermédiaire ou que vous utilisez des certificats personnalisés, vous vous exposez à plus de complexité et à un risque potentiel pour votre sécurité, ce qui représente une augmentation inutile dans vos risques opérationnels. Pour plus d'informations sur la gestion des certificats dans un environnement vSphere, consultez le blog intitulé Nouvelle procédure produit - Remplacement hybride des certificats SSL vSphere à l'adresse http://vmware.com/go/hybridvmca.