Vous pouvez utiliser l'utilitaire vSphere Certificate Manager pour faire de VMCA une autorité de certification intermédiaire. À la fin du processus, VMCA signe tous les nouveaux certificats avec la chaîne complète. Si vous le souhaitez, vous pouvez utiliser vSphere Certificate Manager pour remplacer tous les certificats existants par de nouveaux certificats signés par VMCA.

VMware ne recommande pas d'utiliser VMCA en tant qu'autorité de certification subordonnée (ou intermédiaire). Si vous choisissez cette option, vous vous exposez à plus de complexité et à un risque potentiel pour votre sécurité, ce qui représente une augmentation inutile dans vos risques opérationnels. Pour plus d'informations sur la gestion des certificats dans un environnement vSphere, consultez le blog intitulé Nouvelle procédure produit - Remplacement hybride des certificats SSL vSphere à l'adresse http://vmware.com/go/hybridvmca.

Pour faire de VMCA une autorité de certification intermédiaire, vous devez exécuter vSphere Certificate Manager plusieurs fois. Les étapes générales de remplacement des certificats SSL de machine et des certificats d'utilisateurs de solutions sont notamment :

  1. Lancement de l'utilitaire vSphere Certificate Manager.
  2. Génération d'une demande de signature de certificat par l'exécution de l'option 2, Remplacer le certificat racine VMCA par un certificat de signature personnalisé et remplacer tous les certificats. Vous devrez ensuite éventuellement fournir des informations sur le certificat. Lorsque vous êtes invité à entrer à nouveau une option, sélectionnez l'option 1, Générer une ou plusieurs demandes de signature de certificat et une ou plusieurs clés pour le certificat de signature racine VMCA.
  3. Soumission de la demande de signature de certificat à votre autorité de certification externe ou d'entreprise. Vous recevez un certificat signé et un certificat racine de l'autorité de certification.
  4. Combinaison du certificat racine VMCA au certificat racine de l'autorité de certification et enregistrement du fichier.
  5. Remplacement des certificats par l'exécution de l'option 2, Remplacer le certificat racine VMCA par un certificat de signature personnalisé et remplacer tous les certificats, et réponse aux invites. Ce processus remplace tous les certificats sur la machine locale.
  6. (Facultatif) Remplacement des certificats sur chaque nœud lorsque plusieurs instances de vCenter Server sont connectées dans une configuration Enhanced Linked Mode par :
    1. En premier lieu le remplacement du certificat SSL de machine par le (nouveau) certificat VMCA (option 3, Remplacer le certificat SSL de machine par un certificat VMCA).
    2. Ensuite le remplacement des certificats d'utilisateurs de solutions par le (nouveau) certificat VMCA (option 6, Remplacer les certificats d'utilisateurs de solutions par des certificats VMCA).

Générer une demande de signature de certificat avec Certificate Manager et préparer un certificat racine (autorité de certification intermédiaire)

Vous pouvez utiliser l'utilitaire vSphere Certificate Manager pour générer des demandes de signature de certificat (CSR). Soumettez ces demandes de signature de certificat à l'autorité de certification de votre entreprise ou à une autorité de certification externe pour une signature. Vous pouvez utiliser les certificats signés avec les différents processus de remplacement de certificat pris en charge.

  • Vous pouvez utiliser vSphere Certificate Manager pour générer la demande de signature de certificat.
    Note : Dans vSphere 8.0 et versions ultérieures, si vous utilisez vSphere Certificate Manager pour générer la demande de signature de certificat, la taille minimale de la clé passe à 3 072 bits au lieu de 2 048 bits. Dans vSphere 8.0 Update 1, utilisez le vSphere Client pour générer une demande de signature de certificat dont la taille de clé est de 2 048 bits.
    Note : Le certificat FIPS de vSphere valide uniquement les tailles de clé RSA de 2 048 bits et 3 072 bits.
  • Si vous préférez créer la demande de signature de certificat manuellement, le certificat envoyé pour signature doit satisfaire les conditions suivantes :
    • Taille de clé : de 2 048 bits (minimum) à 16 384 bits (maximum) (codée au format PEM)
    • Format PEM. VMware prend en charge PKCS8 et PKCS1 (clés RSA). Lorsque des clés sont ajoutées à VECS, elles sont converties en PKCS8.
    • x509 version 3
    • L‘extension d'autorité de certification doit être définie sur true pour les certificats racines et la signature de certification doit figurer dans la liste de conditions requises. Par exemple :
      basicConstraints        = critical,CA:true
      keyUsage                = critical,digitalSignature,keyCertSign
    • La signature CRL doit être activée.
    • Le champ Utilisation étendue de la clé peut être vide ou contenir la valeur du champ Authentification du serveur.
    • Aucune limite explicite à la longueur de la chaîne de certificats. VMCA utilise la valeur par défaut OpenSSL, qui est 10 certificats.
    • Les certificats incluant des caractères génériques ou plusieurs noms DNS ne sont pas pris en charge.
    • Vous ne pouvez pas créer d'autorités de certification filiales de VMCA.

      Reportez-vous à l'article « Creating a Microsoft Certificate Authority Template for SSL certificate creation in vSphere 6.x » de la base de connaissances VMware à l'adresse http://kb.vmware.com/kb/2112009 pour consulter un exemple d'utilisation de l'autorité de certification Microsoft.

Conditions préalables

vSphere Certificate Manager vous invite à fournir des informations. Les invites dépendent de votre environnement et du type de certificat que vous souhaitez remplacer.

Pour la génération d'une demande de signature de certificat, vous êtes invité à entrer le mot de passe de l'utilisateur administrator@vsphere.local ou de l'administrateur du domaine vCenter Single Sign-On auquel vous vous connectez.

Procédure

  1. Connectez-vous au shell vCenter Server et démarrez vSphere Certificate Manager.
    /usr/lib/vmware-vmca/bin/certificate-manager
  2. Sélectionnez l'option 2, Remplacer le certificat racine VMCA par un certificat de signature personnalisé et remplacer tous les certificats.
    Initialement, vous utilisez cette option pour générer la demande de signature de certificat, pas pour remplacer des certificats.
  3. Entrez le nom de l'utilisateur administrateur et le mot de passe.
  4. Sélectionnez l'option 1, Générer une ou plusieurs demandes de signature de certificat et une ou plusieurs clés pour le certificat de signature racine VMCA, pour générer la CSR et répondre aux invites.
    Dans le cadre du processus, vous devez fournir un répertoire. vSphere Certificate Manager place le certificat à signer (fichier *.csr) et le fichier de clés correspondant (fichier *.key) dans le répertoire.
  5. Nom de la demande de signature de certificat (CSR) root_signing_cert.csr.
  6. Envoyez la demande CSR à votre entreprise ou à l'autorité de certification externe pour obtenir la signature et nommez le certificat signé root_signing_cert.cer.
  7. Dans un éditeur de texte, combinez les certificats de la façon suivante.
    -----BEGIN CERTIFICATE-----
    Signed VMCA root certificate
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    CA intermediate certificates
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    Root certificate of enterprise or external CA
    -----END CERTIFICATE-----
  8. Enregistrez le fichier en tant que root_signing_chain.cer.

Que faire ensuite

Remplacez le certificat racine existant par le certificat racine chaîné. Reportez-vous à la section Remplacer le certificat racine VMCA par un certificat de signature personnalisé et Remplacer tous les certificats à l'aide de Certificate Manager.

Remplacer le certificat racine VMCA par un certificat de signature personnalisé et Remplacer tous les certificats à l'aide de Certificate Manager

Vous pouvez utiliser l'utilitaire vSphere Certificate Manager pour générer une demande de signature de certificat et l'envoyer à une autorité de certification tierce ou d'entreprise pour la signature. Vous pouvez ensuite remplacer le certificat racine VMCA par un certificat de signature personnalisé et remplacer tous les certificats existants par des certificats signés par l'autorité de certification personnalisée.

Exécutez vSphere Certificate Manager sur une instance externe de vCenter Server pour remplacer le certificat racine VMCA par un certificat de signature personnalisé.

Conditions préalables

  • Générez la chaîne de certificats.
  • Rassemblez les informations qui vous sont nécessaires.
    • Mot de passe pour administrator@vsphere.local
    • Certificat personnalisé valide pour Root (fichier .crt)
    • Clé personnalisée valide pour l'utilisateur racine (fichier .key)

Procédure

  1. Connectez-vous au shell vCenter Server et démarrez vSphere Certificate Manager.
    /usr/lib/vmware-vmca/bin/certificate-manager
  2. Sélectionnez l'option 2, Remplacer le certificat racine VMCA par un certificat de signature personnalisé et remplacer tous les certificats.
  3. Entrez le nom de l'utilisateur administrateur et le mot de passe.
  4. Sélectionnez l'option 2, Importer un ou plusieurs certificats et clés personnalisés pour remplacer le certificat de signature racine VMCA existant, puis répondez aux invites.
    1. Spécifiez le chemin complet du certificat racine lorsque vous y êtes invité.
    2. Si vous remplacez des certificats pour la première fois, vous êtes invité à saisir des informations utilisées pour le certificat SSL de machine.
      Ces informations, qui incluent le domaine requis de la machine, sont conservées dans le fichier certool.cfg.

Remplacer le certificat SSL de machine par un certificat VMCA (autorité de certification intermédiaire) à l'aide de Certificate Manager

Lorsque vous utilisez VMCA comme autorité de certification intermédiaire, vous pouvez explicitement remplacer le certificat SSL de machine à l'aide de l'utilitaire vSphere Certificate Manager. Tout d'abord, vous remplacez le certificat racine VMCA sur vCenter Server, puis vous pouvez remplacer le certificat SSL de machine, qui sera signé par la nouvelle racine du VMCA. Vous pouvez également utiliser cette option pour remplacer les certificats SSL machine qui sont altérés ou sur le point d'expirer.

Lorsque vous remplacez le certificat SSL machine existant par un nouveau certificat signé par VMCA, vSphere Certificate Manager vous invite à fournir des informations et à entrer toutes les valeurs, à l'exception du mot passe et de l'adresse IP de vCenter Server, dans le fichier certool.cfg.

  • Mot de passe pour administrator@vsphere.local
  • Code pays à deux lettres
  • Nom de la société
  • Nom de l'organisation
  • Unité d'organisation
  • État
  • Ville
  • Adresse IP (facultatif)
  • E-mail
  • Nom de l'hôte, à savoir le nom de domaine complet de la machine dont vous souhaitez remplacer le certificat. Si le nom de l'hôte ne correspond pas au nom de domaine complet, le remplacement du certificat ne se fait pas correctement et votre environnement risque de devenir instable.
  • Adresse IP de vCenter Server
  • Nom VMCA, c'est-à-dire le nom de domaine complet de la machine sur laquelle la configuration de certificat est en cours d'exécution.
Note : Le champ OU (organizationalUnitName) n'est plus obligatoire.

Conditions préalables

  • Vous devez connaître les informations suivantes pour exécuter vSphere Certificate Manager avec cette option.
    • Mot de passe pour administrator@vsphere.local.
    • Nom de domaine complet de la machine pour laquelle vous souhaitez générer un nouveau certificat signé par VMCA. Toutes les autres propriétés sont configurées par défaut sur les valeurs prédéfinies mais peuvent être modifiées.
    • Nom d'hôte ou adresse IP du système vCenter Server.

Procédure

  1. Connectez-vous au shell vCenter Server et démarrez vSphere Certificate Manager.
    /usr/lib/vmware-vmca/bin/certificate-manager
  2. Sélectionnez l'option 3, Remplacer le certificat SSL de machine par un certificat VMCA.
  3. Entrez le nom de l'utilisateur administrateur et le mot de passe.
  4. Répondez aux invites.
    vSphere Certificate Manager stocke les informations dans le fichier certool.cfg.

Résultats

vSphere Certificate Manager remplace le certificat machine SSL.

Remplacer les certificats d'utilisateur de solutions par des certificats VMCA (autorité de certification intermédiaire) à l'aide de Certificate Manager

Lorsque vous utilisez VMCA comme autorité de certification intermédiaire, vous pouvez explicitement remplacer le certificat d'utilisateur de solution à l'aide de l'utilitaire vSphere Certificate Manager. Tout d'abord, vous remplacez le certificat racine VMCA sur vCenter Server, puis vous pouvez remplacer le certificat d'utilisateur de solution, qui sera signé par la nouvelle racine du VMCA. Vous pouvez également utiliser cette option pour remplacer les certificats de solutions qui sont altérés ou sur le point d'expirer.

Conditions préalables

  • Redémarrez tous les nœuds vCenter Server explicitement si vous avez remplacé le certificat racine VMCA dans un déploiement constitué de plusieurs instances de vCenter Server dans une configuration Enhanced Linked Mode.
  • Vous devez connaître les informations suivantes pour exécuter vSphere Certificate Manager avec cette option.
    • Mot de passe pour administrator@vsphere.local
    • Nom d'hôte ou adresse IP du système vCenter Server

Procédure

  1. Connectez-vous au shell vCenter Server et démarrez vSphere Certificate Manager.
    /usr/lib/vmware-vmca/bin/certificate-manager
  2. Sélectionnez l'option 6, Remplacer les certificats d'utilisateur de solutions par des certificats VMCA.
  3. Entrez le nom de l'utilisateur administrateur et le mot de passe.
  4. Répondez aux invites.
    Pour plus d'informations, consultez l'article de la base de connaissances VMware accessible à l'adresse http://kb.vmware.com/kb/2112281.

Résultats

vSphere Certificate Manager remplace tous les certificats d'utilisateurs de solutions.