La procédure à suivre pour la configuration ou la mise à jour de votre infrastructure de certificats vSphere dépend des exigences de votre environnement. Vous devez définir si vous effectuez une nouvelle installation ou une mise à niveau et si vous envisagez d'utiliser ESXi ou vCenter Server.

Administrateurs qui ne remplacent pas les certificats VMware

VMCA peut prendre en charge la gestion de tous les certificats. VMware Certificate Authority (VMCA) fournit aux composants de vCenter Server et aux hôtes ESXi des certificats qui utilisent VMCA comme autorité de certification racine. Si vous effectuez une mise à niveau vers vSphere 6.0 ou version ultérieure à partir d'une version précédente de vSphere, tous les certificats auto-signés sont remplacés par des certificats signés par VMCA.

Si, actuellement, vous ne remplacez pas de certificats VMware, votre environnement commence à utiliser des certificats signés par VMCA au lieu de certificats auto-signés.

Administrateurs qui remplacent les certificats VMware par des certificats personnalisés

Si votre stratégie d'entreprise exige que les certificats soient signés par une autorité de certification tierce ou d'entreprise, ou si elle exige des informations de certificat personnalisé, vous disposez de plusieurs choix pour une nouvelle installation.

  • Faites signer le certificat racine VMCA par une autorité de certification tierce ou d'entreprise. Remplacez le certificat racine VMCA par ce certificat signé. Dans ce scénario, le certificat VMCA est un certificat intermédiaire. VMCA fournit aux composants de vCenter Server et aux hôtes ESXi des certificats qui incluent la chaîne complète de certificats.
  • Si votre stratégie d'entreprise n'autorise pas les certificats intermédiaires dans la chaîne, vous pouvez remplacer les certificats de façon explicite. Vous pouvez utiliser vSphere Client, l'utilitaire vSphere Certificate Manager ou effectuer le remplacement manuel des certificats en utilisant les interfaces de ligne de commande de gestion de certificats.

Lors de la mise à niveau d'un environnement qui utilise des certificats personnalisés, vous pouvez conserver certains certificats.

  • Les hôtes ESXi conservent leurs certificats personnalisés pendant la mise à niveau. Assurez-vous que le processus de mise à niveau de vCenter Server ajoute tous les certificats racines pertinents au magasin TRUSTED_ROOTS dans VMware Certificate Endpoint Store (VECS) sur vCenter Server.

    Une fois la mise à niveau vers vSphere 6.0 ou version ultérieure effectuée, vous pouvez définir le mode des certificats sur Personnalisé. Si le mode de certificat est VMCA (valeur par défaut) et si vous effectuez une actualisation des certificats à partir de vSphere Client, les certificats signés par VMCA remplacent les certificats personnalisés.

  • Pour la mise à niveau d'une installation simple de vCenter Server vers un déploiement intégré, vCenter Server conserve les certificats personnalisés. Après la mise à niveau, votre environnement fonctionne comme auparavant. Les certificats vCenter Server et vCenter Single Sign-On existants sont conservés. Les certificats sont utilisés en tant que certificats SSL de machine. En outre, VMCA attribue un certificat signé par VMCA à chaque utilisateur de solution (collection de services vCenter). L'utilisateur de solution utilise ce certificat uniquement pour s'authentifier auprès de vCenter Single Sign-On. VMware ne recommande pas le remplacement des certificats d'utilisateur de solutions.

Interfaces de certificat vSphere

Pour vCenter Server, vous pouvez afficher et remplacer les certificats avec les outils et les interfaces ci-après.
Tableau 1. Interfaces pour la gestion des certificats vCenter Server
Interface Utilisez
vSphere Client Effectuez les tâches de certificat courantes à l'aide d'une interface utilisateur graphique.
API de vSphere Automation Consultez le Guide de programmation des SDK de VMware vSphere Automation.
Utilitaire vSphere Certificate Manager Effectuez les tâches courantes de remplacement de certificat à partir de la ligne de commande de l'installation de vCenter Server.
Interfaces de ligne de commande vSphere Certificate Management Effectuez toutes les tâches de gestion de certificats avec dir-cli, certool et vecs-cli.
Utilitaire sso-config Effectuez la gestion du certificat STS à partir de la ligne de commande de l'installation de vCenter Server.
PowerCLI 12.4 (requiert vSphere 7.0 ou version ultérieure) Gérez des magasins de certificats approuvés, gérez des certificats SSL de machine vCenter Server et gérez des certificats SSL de machine ESXi.

Pour ESXi, effectuez la gestion des certificats à partir de vSphere Client. VMCA provisionne les certificats et les stocke localement sur l'hôte ESXi. VMCA ne stocke pas les certificats de l'hôte ESXi dans VMDIR ou dans VECS. Consultez la documentation de Sécurité vSphere.

Certificats vCenter pris en charge

Pour vCenter Server et pour les machines et services associés, les certificats suivants sont pris en charge :

  • Certificats qui sont générés et signés par VMware Certificate Authority (VMCA).
  • Certificats personnalisés.
    • Certificats d'entreprise qui sont générés à partir de votre propre infrastructure de clés publiques (PKI) interne.
    • Certificats signés par une autorité de certification tierce qui sont générés à partir d'une infrastructure de clés publiques (PKI) externe telle que Verisign, GoDaddy, etc.

Les certificats auto-signés créés au moyen d'OpenSSL dans lesquels il n'existe aucune autorité de certification racine ne sont pas pris en charge.