Vous pouvez employer l'utilitaire vSphere Certificate Manager pour remplacer tous les certificats par des certificats personnalisés. Avant de démarrer le processus, vous devez envoyer des demandes de signature de certificat (CSR) à votre autorité de certification. Vous pouvez utiliser Certificate Manager pour générer les demandes de signature de certificat.

Une option consiste à uniquement remplacer le certificat SSL de la machine, puis d'utiliser les certificats d'utilisateurs de solutions fournis par VMCA. Les certificats d'utilisateurs de solutions sont utilisés uniquement pour la communication entre les composants de vSphere.

Lorsque vous utilisez des certificats personnalisés, vous remplacez les certificats signés par VMCA par des certificats personnalisés. Vous pouvez utiliser vSphere Client, l'utilitaire vSphere Certificate Manager ou des interfaces de ligne de commande pour procéder à un remplacement manuel des certificats. Les certificats sont stockés dans VECS.

Pour remplacer tous les certificats par des certificats personnalisés, vous devez exécuter l’utilitaire vSphere Certificate Manager plusieurs fois. Les étapes générales de remplacement des certificats SSL de machine et des certificats d'utilisateurs de solutions sont notamment :

  1. Lancement de l'utilitaire vSphere Certificate Manager.
  2. Génération des demandes de signature de certificat pour le certificat SSL de machine et les certificats d'utilisateurs de solutions séparément sur chaque machine.
    1. Pour générer des demandes de signature de certificat pour le certificat SSL de machine, sélectionnez l'option 1, Remplacer le certificat SSL de machine par un certificat personnalisé. Lorsque vous êtes invité à nouveau à choisir une option, sélectionnez l'option 1, Générer une ou plusieurs demandes de signature de certificat et une ou plusieurs clés pour le certificat SSL de machine.
    2. Si la stratégie de l'entreprise n'autorise pas un déploiement hybride, sélectionnez l'option 5, Remplacer les certificats d'utilisateurs de solutions par un certificat personnalisé.
  3. Soumission de la demande de signature de certificat à votre autorité de certification externe ou d'entreprise. Vous recevez un certificat signé et un certificat racine de l'autorité de certification.
  4. Après avoir reçu les certificats signés et le certificat racine de votre autorité de certification, remplacez le certificat SSL de machine sur chaque machine à l'aide de l'option 1, Remplacer le certificat SSL de machine par un certificat personnalisé.
  5. Si vous souhaitez également remplacer les certificats d'utilisateurs de solutions, sélectionnez l'option 5, Remplacer les certificats d'utilisateurs de solutions par un certificat personnalisé.
  6. Enfin, lorsque plusieurs instances de vCenter Server sont connectées dans une configuration Enhanced Linked Mode, vous devez répéter le processus sur chaque nœud.

Générer des demandes de signature de certificat avec Certificate Manager (certificats personnalisés)

Vous pouvez utiliser l'utilitaire vSphere Certificate Manager pour générer des demandes de signature de certificat (CSR) que vous pouvez ensuite utiliser avec votre autorité de certification d'entreprise ou envoyer à une autorité de certification externe. Vous pouvez utiliser les certificats avec les différents processus de remplacement de certificat pris en charge.

Conditions préalables

vSphere Certificate Manager vous invite à fournir des informations. Les invites dépendent de votre environnement et du type de certificat que vous souhaitez remplacer.

  • Pour la génération d'une demande de signature de certificat, vous êtes invité à entrer le mot de passe de l'utilisateur [email protected] ou de l'administrateur du domaine vCenter Single Sign-On auquel vous vous connectez.
  • Vous êtes invité à saisir le nom d'hôte ou l'adresse IP de vCenter Server.
  • Pour générer une demande de signature du certificat SSL d'une machine, vous êtes invité à entrer les propriétés du certificat, qui sont stockées dans le fichier certool.cfg. Pour la plupart des champs, vous pouvez accepter les valeurs par défaut ou entrer des valeurs spécifiques au site. Le FQDN de la machine est requis.
    Note : Dans vSphere 8.0 et versions ultérieures, si vous utilisez vSphere Certificate Manager pour générer la demande de signature de certificat, la taille minimale de la clé passe à 3 072 bits au lieu de 2 048 bits. Dans vSphere 8.0 Update 1 et versions ultérieures, utilisez le vSphere Client pour générer une demande de signature de certificat dont la taille de clé est de 2 048 bits.
    Note : Le certificat FIPS de vSphere valide uniquement les tailles de clé RSA de 2 048 bits et 3 072 bits.

Procédure

  1. Connectez-vous à chaque vCenter Server (le shell vCenter Server) dans votre environnement et démarrez vSphere Certificate Manager. 
    /usr/lib/vmware-vmca/bin/certificate-manager
  2. Option 1 : remplacer le certificat SSL de machine par un certificat personnalisé.
  3. Entrez le nom de l'utilisateur administrateur et le mot de passe.
  4. Sélectionnez l'option 1, Générer une ou plusieurs demandes de signature de certificat et une ou plusieurs clés pour le certificat SSL de machine, pour générer la CSR, répondre aux invites et quitter vSphere Certificate Manager.
    Dans le cadre du processus, vous devez fournir un répertoire. vSphere Certificate Manager place les fichiers de certificat et de clé dans le répertoire.
  5. Si vous souhaitez également remplacer tous les certificats d'utilisateurs de solutions, redémarrez vSphere Certificate Manager et sélectionnez l'option 5, Remplacer les certificats d'utilisateurs de solutions par un certificat personnalisé.
  6. Fournissez le mot de passe et l'adresse IP ou le nom d'hôte de vCenter Server, si vous y êtes invité.
  7. Sélectionnez l'option 1, Générer une ou plusieurs demandes de signature de certificat et une ou plusieurs clés pour les certificats d'utilisateurs de solutions afin de générer les CSR, répondre aux invites et quitter vSphere Certificate Manager.
    Dans le cadre du processus, vous devez fournir un répertoire. Certificate Manager place le certificat et les fichiers clés dans le répertoire.

Que faire ensuite

Pour effectuer le remplacement des certificats, reportez-vous à la section Remplacer le certificat SSL de machine par un certificat personnalisé à l'aide de Certificate Manager.

Remplacer le certificat SSL de machine par un certificat personnalisé à l'aide de Certificate Manager

Vous pouvez utiliser l'utilitaire vSphere Certificate Manager pour remplacer le certificat SSL de machine sur chaque nœud par un certificat personnalisé. Le certificat SSL de machine est utilisé par le service de proxy inverse sur chaque nœud vCenter Server. Chaque machine doit avoir un certificat SSL de machine pour la communication sécurisée avec d'autres services.

Conditions préalables

Avant de commencer, vous avez besoin d'une demande de signature de certificat pour chaque machine de votre environnement. Vous pouvez générer la demande de signature de certificat à l'aide de vSphere Certificate Manager ou explicitement.

  1. Pour générer la demande de signature de certificat à l'aide de vSphere Certificate Manager, reportez-vous à Générer des demandes de signature de certificat avec Certificate Manager (certificats personnalisés).
  2. Pour générer la demande de signature de certificat explicitement, demander un certificat pour chaque machine de votre autorité de certification tierce ou d'entreprise. Le certificat doit répondre à la configuration requise suivante :
    • Taille de clé : de 2 048 bits (minimum) à 8 192 bits (maximum) (codée au format PEM)
    • Format CRT
    • x509 version 3
    • SubjectAltName doit contenir DNS Name=<machine_FQDN>.
    • Contient les utilisations de clé suivantes : signature numérique, chiffrement de clé

Reportez-vous également à l'article de la base de connaissances VMware à l'adresse https://kb.vmware.com/s/article/2112014, Obtention de certificats vSphere depuis une autorité de certification Microsoft.

Procédure

  1. Connectez-vous à vCenter Server et démarrez vSphere Certificate Manager. 
    /usr/lib/vmware-vmca/bin/certificate-manager
  2. Option 1 : remplacer le certificat SSL de machine par un certificat personnalisé.
  3. Entrez le nom de l'utilisateur administrateur et le mot de passe.
  4. Sélectionnez l'option 2, Importer un ou plusieurs certificats personnalisés et une ou plusieurs clés pour remplacer le certificat SSL de machine existant, pour démarrer le remplacement des certificats et répondre aux invites.
    vSphere Certificate Manager vous invite à fournir les informations suivantes :
    • Mot de passe pour [email protected]
    • Certificat personnalisé SSL valide de la machine (fichier .crt)
    • Clé personnalisée SSL valide de la machine (fichier .key)
    • Certificat de signature valide pour le certificat personnalisé SSL de la machine (fichier .crt)
    • Adresse IP de vCenter Server

Remplacer les certificats d'utilisateurs de solutions par des certificats personnalisés à l'aide de Certificate Manager

Bon nombre d'entreprises demandent uniquement à ce que vous remplaciez les certificats de services accessibles de façon externe. Toutefois, l’utilitaire vSphere Certificate Manager prend également en charge le remplacement des certificats d’utilisateurs de solutions. Les utilisateurs de solution sont des ensembles de services, par exemple, tous les services associés à vSphere Client.

Lorsque vous êtes invité à indiquer un certificat d'utilisateur de solution, fournissez la chaîne de certificat de signature complète de l'autorité de certification tierce.

Le format est semblable à l'exemple suivant. 
-----BEGIN CERTIFICATE-----
Signing certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
CA intermediate certificates
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Root certificate of enterprise or external CA
-----END CERTIFICATE-----

Conditions préalables

Avant de commencer, vous avez besoin d'une demande de signature de certificat pour chaque machine de votre environnement. Vous pouvez générer la demande de signature de certificat à l'aide de vSphere Certificate Manager ou explicitement.

  1. Pour générer la demande de signature de certificat à l'aide de vSphere Certificate Manager, reportez-vous à Générer des demandes de signature de certificat avec Certificate Manager (certificats personnalisés).
  2. Demandez un certificat pour chaque utilisateur de solution sur chaque nœud auprès de votre autorité de certification tierce ou d'entreprise. Vous pouvez générer la demande de signature de certificat à l'aide de vSphere Certificate Manager ou la préparer vous-même. La demande de signature de certificat doit répondre aux exigences suivantes :
    • Taille de clé : de 2 048 bits (minimum) à 8 192 bits (maximum) (codée au format PEM)
    • Format CRT
    • x509 version 3
    • SubjectAltName doit contenir DNS Name=<machine_FQDN>.

    • Chaque certificat d'utilisateur de la solution doit avoir un paramètre Subject différent. Vous pouvez par exemple saisir le nom de l'utilisateur de la solution (tel que vpxd) ou un autre identifiant unique.

    • Contient les utilisations de clé suivantes : signature numérique, chiffrement de clé

Reportez-vous également à l'article de la base de connaissances VMware à l'adresse http://kb.vmware.com/kb/2112014, Obtention de certificats vSphere depuis une autorité de certification Microsoft.

Procédure

  1. Connectez-vous à vCenter Server et démarrez vSphere Certificate Manager. 
    /usr/lib/vmware-vmca/bin/certificate-manager
  2. Sélectionnez l'option 5, Remplacer les certificats d'utilisateurs de solutions par un certificat personnalisé.
  3. Entrez le nom de l'utilisateur SSO et le mot de passe.
  4. Sélectionnez l'option 2, Importer un ou plusieurs certificats personnalisés et une ou plusieurs clés pour remplacer les certificats d'utilisateurs de solutions existants, puis répondez aux invites.
    vSphere Certificate Manager vous invite à fournir les informations suivantes :
    • Mot de passe pour [email protected]
    • Certificat et clé de l'utilisateur de solution de machine
    • Le certificat et la clé (vpxd.crt et vpxd.key) pour l'utilisateur de solution de machine
    • L'ensemble complet de certificats et de clés (vpxd.crt et vpxd.key) pour tous les utilisateurs de solution