Selon la stratégie de sécurité de votre entreprise, vous devrez peut-être remplacer le certificat SSL défini par défaut pour ESXi par un certificat signé par une autorité de certification tierce sur chaque hôte.

Par défaut, les composants vSphere utilisent le certificat signé par VMCA et la clé créés lors de l'installation. Si vous supprimez accidentellement le certificat signé par VMCA, supprimez l'hôte de son système vCenter Server, puis ajoutez-le de nouveau. Lorsque vous ajoutez l'hôte, vCenter Server demande un nouveau certificat à VMCA et provisionne l'hôte à l'aide de celui-ci.

Si la stratégie de votre entreprise l'impose, remplacez les certificats signés par VMCA par des certificats provenant d'une autorité de certification approuvée (une autorité de certification commerciale ou l'autorité de certification d'une organisation).

Les certificats par défaut se trouvent au même emplacement que les certificats vSphere 5.5. Vous pouvez remplacer les certificats par défaut par des certificats approuvés de plusieurs manières.

Note : Vous pouvez également utiliser les objets gérés vim.CertificateManager et vim.host.CertificateManager dans vSphere Web Services SDK. Reportez-vous à la documentation vSphere Web Services SDK.

Après avoir remplacé le certificat, vous devez mettre à jour le magasin TRUSTED_ROOTS dans VECS sur le système vCenter Server qui gère l'hôte, afin de garantir une relation de confiance entre vCenter Server et l'hôte ESXi.

Pour obtenir des instructions détaillées sur l'utilisation des certificats signés par une autorité de certification pour les hôtes ESXi, consultez la section Workflows de changement mode de certificat.

Note : Si vous remplacez les certificats SSL sur un hôte ESXi faisant partie d'un cluster vSAN, suivez les étapes figurant dans l'article de la base de connaissances VMware https://kb.vmware.com/s/article/56441.