Vous pouvez effectuer différents types de remplacement de certificats selon la stratégie et les besoins de votre entreprise pour le système que vous configurez. Vous pouvez effectuer un remplacement de certificat à l'aide de vSphere Client en utilisant l'utilitaire vSphere Certificate Manager, ou le remplacer manuellement à l'aide des interfaces de ligne de commande incluses dans votre installation.
VMware Certificate Authority (VMCA) est inclus dans chaque déploiement de vCenter Server. VMCA provisionne chaque nœud, chaque utilisateur de solution vCenter Server et chaque hôte ESXi avec un certificat signé par VMCA en tant qu'autorité de certification.
Vous pouvez remplacer les certificats par défaut. Pour les composants de vCenter Server, vous pouvez utiliser un ensemble d'outils de ligne de commande inclus dans votre installation. Vous avez plusieurs options.
Remplacement des certificats par des certificats signés par VMCA
Si votre certificat VMCA expire ou si vous souhaitez le remplacer pour d'autres raisons, vous pouvez utiliser les interfaces de ligne de commande de gestion de certificats pour effectuer ce processus. Par défaut, le certificat racine VMCA expire au bout de 10 ans, et tous les certificats signés par VMCA expirent au moment de l'expiration du certificat racine, c'est-à-dire au terme d'une période maximale de 10 ans.
- Remplacer le certificat SSL machine par un certificat VMCA
- Remplacer le certificat d'utilisateur de solution par un certificat VMCA
Pour le remplacement manuel de certificat, reportez-vous à Remplacer les certificats existants signés par VMCA par de nouveaux certificats signés par VMCA à l'aide de la CLI.
Faire de VMCA une autorité de certification intermédiaire
- Remplacer le certificat racine VMCA par un certificat de signature personnalisé et remplacer tous les certificats
- Remplacer le certificat SSL machine par un certificat VMCA (déploiement Enhanced Linked Mode multi-nœud)
- Remplacer le certificat d'utilisateurs de solution par un certificat VMCA (déploiement Enhanced Linked Mode multi-nœud)
Pour le remplacement manuel de certificat, reportez-vous à Faire de VMCA une autorité de certification intermédiaire à l'aide de l'interface de ligne de commande.
Remplacement des certificats signés par VMCA par des certificats personnalisés
Vous pouvez remplacer les certificats signés par VMCA existants par des certificats personnalisés. Si vous utilisez cette approche, vous êtes responsable de l'intégralité du provisionnement et de la surveillance des certificats.
- Remplacer le certificat SSL de machine par un certificat personnalisé
- Remplacer les certificats d'utilisateurs de solution par des certificats personnalisés
Pour le remplacement manuel de certificat, reportez-vous à Remplacer les certificats par des certificats personnalisés à l'aide de l'interface de ligne de commande.
Vous pouvez également utiliser vSphere Client pour générer une demande de signature de certificat pour un certificat SSL de machine (personnalisé) et remplacer le certificat après son renvoi par l'autorité de certification. Reportez-vous à la section Générer une demande de signature de certificat pour un certificat SSL de machine à l'aide de vSphere Client (certificats personnalisés).
Utilisation de l'approche hybride pour le déploiement de certificats
Dans l'approche hybride, vous pouvez demander à VMCA de fournir une partie des certificats, mais utiliser des certificats personnalisés pour d'autres parties de votre infrastructure. Par exemple, comme les certificats d'utilisateur de solution sont utilisés uniquement pour s'authentifier auprès de vCenter Single Sign-On, envisagez de demander à VMCA de provisionner ces certificats. Remplacez les certificats SSL machine par des certificats personnalisés pour sécuriser l'ensemble du SSL.
Souvent, les stratégies d'entreprise n'autorisent pas les autorités de certificat intermédiaires. Dans ce type de situation, un déploiement hybride constitue une bonne solution. En effet, il réduit au maximum le nombre de certificats à remplacer et sécurise l'ensemble du trafic. Un déploiement hybride autorise uniquement le trafic interne (c'est-à-dire le trafic des utilisateurs de solutions) à utiliser les certificats par défaut signés par VMCA.
Pour plus d'informations, consultez le blog intitulé Nouvelle présentation produit - Remplacement hybride des certificats SSL vSphere à l'adresse http://vmware.com/go/hybridvmca.
Remplacement des certificats ESXi
Pour les hôtes ESXi, vous pouvez modifier le comportement de provisionnement de certificats à partir de vSphere Client. Pour plus d'informations, reportez-vous à la documentation Sécurité vSphere.
Option | Description |
---|---|
Mode VMware Certificate Authority (par défaut) | Lorsque vous renouvelez des certificats à partir de vSphere Client, VMCA émet les certificats pour les hôtes. Si vous modifiez le certificat racine VMCA de manière à inclure une chaîne de certificats, les certificats hôtes incluent la chaîne complète. |
Mode d'autorité de certification personnalisée | Permet de mettre à jour et d'utiliser manuellement des certificats qui ne sont pas signés ou émis par VMCA. |
Mode d'empreinte | Peut être utilisé pour conserver les certificats 5.5 pendant l'actualisation. Utilisez ce mode uniquement de façon temporaire dans des situations de débogage. |