À partir de vSphere 6.0, les hôtes ESXi sont provisionnés avec des certificats par VMCA par défaut. Vous devez plutôt utiliser le mode de certification personnalisée ou, à des fins de débogage, le mode d'empreinte hérité. Dans la plupart des cas, les changements de mode sont perturbateurs et ne sont pas nécessaires. Si un changement de mode s'impose, évaluez l'impact potentiel avant de commencer.
Mode de certificat | Description |
---|---|
VMware Certificate Authority (par défaut) | Par défaut, VMware Certificate Authority est utilisée comme autorité de certification pour les certificats des hôtes ESXi. VMCA est l'autorité de certification racine par défaut, mais elle peut être définie comme autorité de certification intermédiaire vers une autre autorité de certification. Dans ce mode, les utilisateurs peuvent gérer des certificats dans vSphere Client. Ce mode est également utilisé si VMCA est un certificat subordonné. |
Autorité de certification personnalisée | Certains clients préfèrent gérer leur propre autorité de certification externe. Dans ce mode, les clients sont responsables de la gestion des certificats et ne peuvent pas les gérer depuis vSphere Client. |
Mode d'empreinte | vSphere 5.5 utilisait le mode d'empreinte et ce mode reste disponible en tant qu'option de repli pour vSphere 6.0. Toutefois, n'utilisez pas ce mode en cas de problèmes avec l'un ou les deux autres modes que vous ne pouvez pas résoudre. Certains services vCenter 6.0 et versions ultérieures ne fonctionnent pas correctement en mode d'empreinte. |
Utilisation de certificats ESXi personnalisés
Si la stratégie de votre entreprise impose l'utilisation d'une autorité de certification racine autre que VMCA, vous pouvez changer le mode de certification de votre environnement après avoir procédé à une planification rigoureuse. Le workflow est le suivant.
- Obtenez les certificats que vous souhaitez utiliser.
- Placez le ou les hôtes en mode de maintenance et déconnectez-les du système vCenter Server.
- Ajoutez le certificat racine de l'autorité de certification personnalisée à VECS.
- Déployez les certificats de l'autorité de certification personnalisée sur chaque hôte et redémarrez les services sur cet hôte.
- Passez au mode d'autorité de certification personnalisée. Reportez-vous à la section Changer le mode de certificat.
- Connectez le ou les hôtes au système vCenter Server.
Passage du mode d'autorité de certification personnalisée au mode VMCA
Si vous utilisez le mode d'autorité de certification personnalisée et en venez à la conclusion que VMCA fonctionne mieux dans votre environnement, vous pouvez procéder au changement de mode après une planification rigoureuse. Le workflow est le suivant.
- Retirez tous les hôtes du système vCenter Server.
- Sur le système vCenter Server, retirez de VECS le certificat racine de l'autorité de certification tierce.
- Passez au mode VMCA. Reportez-vous à la section Changer le mode de certificat.
- Ajoutez les hôtes au système vCenter Server.
Conservation des certificats du mode d'empreinte pendant la mise à niveau
Le passage du mode VMCA au mode d'empreinte peut être nécessaire si vous rencontrez des problèmes avec les certificats VMCA. En mode d'empreinte, le système vCenter Server vérifie uniquement la présence et le format d'un certificat, mais pas sa validitié. Voir Changer le mode de certificat pour plus d'informations.
Passage du mode d'empreinte au mode VMCA
Si vous utilisez le mode d'empreinte et que vous souhaitez commencer à utiliser des certificats signés par VMCA, le changement nécessite de la planification. Le workflow est le suivant.
- Retirez tous les hôtes du système vCenter Server.
- Passez au mode de certification VMCA. Reportez-vous à la section Changer le mode de certificat.
- Ajoutez les hôtes au système vCenter Server.
Passage du mode d'autorité de certification personnalisé au mode d'empreinte
Si vous rencontrez des problèmes avec votre autorité de certification personnalisée, envisagez de passer temporairement au mode d'empreinte. Le changement s'effectue de façon transparente si vous suivez les instructions de la section Changer le mode de certificat. Après le changement de mode, le système vCenter Server vérifie uniquement le format du certificat et ne vérifie plus la validité du certificat proprement dit.
Passage du mode d'empreinte au mode d'autorité de certification personnalisée
Si vous définissez votre environnement sur le mode d'empreinte pendant un dépannage et que vous souhaitez commencer à utiliser le mode d'autorité de certification personnalisée, vous devez d'abord générer les certificats requis. Le workflow est le suivant.
- Retirez tous les hôtes du système vCenter Server.
- Ajoutez le certificat racine de l'autorité de certification personnalisée au magasin TRUSTED_ROOTS dans VECS sur le système vCenter Server. Reportez-vous à la section Mettre à jour le magasin TRUSTED_ROOTS de vCenter Server (Certificats personnalisés).
- Pour chaque hôte ESXi :
- Déployez le certificat et la clé de l'autorité de certification personnalisée.
- Redémarrez les services sur l'hôte.
- Passez au mode personnalisé. Reportez-vous à la section Changer le mode de certificat.
- Ajoutez les hôtes au système vCenter Server.