Vous utilisez l'interface de ligne de commande pour remplacer le certificat racine VMCA par un certificat signé par une autorité de certification tierce qui inclut VMCA dans la chaîne de certificats. Par la suite, tous les certificats générés par VMCA incluent l'ensemble de la chaîne. Vous pouvez remplacer des certificats existants par des certificats qui viennent d'être générés.

Si vous utilisez VMCA comme autorité de certification intermédiaire ou que vous utilisez des certificats personnalisés, vous vous exposez à plus de complexité et un risque potentiel pour votre sécurité, ce qui représente une augmentation inutile dans vos risques opérationnels. Pour plus d'informations sur la gestion des certificats dans un environnement vSphere, consultez le blog intitulé Nouvelle procédure produit - Remplacement hybride des certificats SSL vSphere à l'adresse http://vmware.com/go/hybridvmca.

Remplacer le certificat racine (autorité de certification intermédiaire) à l'aide de la CLI

La première étape du remplacement des certificats VMCA par des certificats personnalisés génère une demande de signature de certificat, qui est envoyée pour être signée. Vous pouvez ensuite utiliser la CLI pour ajouter le certificat signé à VMCA en tant que certificat racine.

Vous pouvez utiliser l'utilitaire Certificate Manager ou un autre outil pour générer la demande de signature de certificat. La demande de signature de certificat doit répondre à la configuration requise suivante :

  • Taille de clé : de 2 048 bits (minimum) à 8 192 bits (maximum) (codée au format PEM)
  • Format PEM. VMware prend en charge PKCS8 et PKCS1 (clés RSA). Lorsque des clés sont ajoutées à VECS, elles sont converties en PKCS8.
  • x509 version 3
  • L‘extension d'autorité de certification doit être définie sur true pour les certificats racines et la signature de certification doit figurer dans la liste de conditions requises. Par exemple :
    basicConstraints        = critical,CA:true
    keyUsage                = critical,digitalSignature,keyCertSign
  • La signature CRL doit être activée.
  • Le champ Utilisation étendue de la clé peut être vide ou contenir la valeur du champ Authentification du serveur.
  • Aucune limite explicite à la longueur de la chaîne de certificats. VMCA utilise la valeur par défaut OpenSSL, qui est 10 certificats.
  • Les certificats incluant des caractères génériques ou plusieurs noms DNS ne sont pas pris en charge.
  • Vous ne pouvez pas créer d'autorités de certification filiales de VMCA.

    Reportez-vous à l'article « Creating a Microsoft Certificate Authority Template for SSL certificate creation in vSphere 6.x » de la base de connaissances VMware à l'adresse https://kb.vmware.com/s/article/2112009 pour consulter un exemple d'utilisation de l'autorité de certification Microsoft.

Note : Le certificat FIPS de vSphere valide uniquement les tailles de clé RSA de 2 048 bits et 3 072 bits.
VMCA valide les attributs suivants du certificat lorsque vous remplacez le certificat racine :
  • Taille de clé : de 2 048 bits (minimum) à 8 192 bits (maximum).
  • Utilisation de clé : signature de certification
  • Contrainte de base : autorité de certification du type de sujet

Procédure

  1. Générez une demande de signature de certificat et envoyez-la à votre autorité de certification.
    Suivez les instructions de votre autorité de certification.
  2. Préparez un fichier de certificat qui inclut le certificat signé par VMCA et la chaîne d'autorité de certification complète de votre autorité de certification tierce ou d'entreprise. Enregistrez le fichier, par exemple en tant que rootca1.crt.
    Vous pouvez effectuer cette étape en copiant tous les certificats de l'autorité de certification au format PEM dans un fichier unique. Vous démarrez avec le certificat racine VMCA et terminez avec le certificat racine de l'autorité de certification au format PEM. Par exemple :
    -----BEGIN CERTIFICATE-----
    <Certificate of VMCA>
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    <Certificate of intermediary CA>
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    <Certificate of Root CA>
    -----END CERTIFICATE-----
  3. Arrêtez tous les services et démarrez ceux qui gèrent la création, la propagation et le stockage des certificats.
    service-control --stop --all
    service-control --start vmafdd
    service-control --start vmdird
    service-control --start vmcad
    
  4. Remplacez l'autorité de certification racine VMCA existante.
    certool --rootca --cert=rootca1.crt --privkey=root1.key
    Lorsque vous exécutez cette commande, elle :
    • Ajoute le nouveau certificat racine personnalisé à l'emplacement des certificats dans le système de fichiers.
    • Ajoute le certificat racine personnalisé au magasin TRUSTED_ROOTS dans VECS (après un délai).
    • Ajoute le certificat racine personnalisé à vmdir (après un délai).
  5. (Facultatif) Pour propager le changement à toutes les instances de vmdir (VMware Directory Service), publiez le nouveau certificat racine dans vmdir, en fournissant le chemin complet de chaque fichier.
    Par exemple, si le certificat dispose d'un seul certificat dans la chaîne :
    dir-cli trustedcert publish --cert rootca1.crt
    Si le certificat dispose de plusieurs certificats dans la chaîne :
    dir-cli trustedcert publish --cert rootcal.crt --chain
    La réplication entre les nœuds vmdir se produit toutes les 30 secondes. Il n'est pas nécessaire d'ajouter le certificat racine à VECS de façon explicite, car VECS interroge vmdir concernant les fichiers de certificat racine toutes les 5 minutes.
  6. (Facultatif) Le cas échéant, vous pouvez forcer une opération d'actualisation de VECS.
    vecs-cli force-refresh
  7. Redémarrez tous les services.
    service-control --start --all

Exemple : Remplacement du certificat racine

Remplacez le certificat racine VMCA par le certificat racine VMCA personnalisé en utilisant la commande certool avec l'option --rootca.

/usr/lib/vmware-vmca/bin/certool --rootca --cert=<path>/root.pem -–privkey=<path>/root.key
Lorsque vous exécutez cette commande, elle :
  • Ajoute le nouveau certificat racine personnalisé à l'emplacement des certificats dans le système de fichiers.
  • Ajoute le certificat racine personnalisé au magasin TRUSTED_ROOTS dans VECS.
  • Ajoute le certificat racine personnalisé à vmdir.

Que faire ensuite

Vous pouvez supprimer le certificat racine VMCA initial du magasin de certificats si la stratégie de votre entreprise l'exige. Dans ce cas, vous devez remplacer le certificat de signature de vCenter Single Sign-On. Reportez-vous à la section Remplacer un certificat STS vCenter Server à l'aide de la ligne de commande.

Remplacer les certificats SSL de machine (autorité de certification intermédiaire) à l'aide de la CLI

Après avoir reçu le certificat signé de l'autorité de certification, vous pouvez utiliser la CLI pour en faire le certificat racine VMCA et remplacer tous les certificats SSL de machine.

Cette procédure est en grande partie identique à celle mise en œuvre pour le remplacement par un certificat qui utilise VMCA comme autorité de certification. Néanmoins, dans ce cas, VMCA signe tous les certificats avec la chaîne complète.

Chaque machine doit avoir un certificat SSL de machine pour la communication sécurisée avec d'autres services. Lorsque plusieurs instances de vCenter Server sont connectées dans une configuration Enhanced Linked Mode, vous devez exécuter les commandes de génération de certificat SSL de machine sur chaque nœud.

Conditions préalables

Pour chaque certificat SSL de machine, le SubjectAltName doit contenir DNS Name=<Machine FQDN>.

Procédure

  1. Faites une copie de certool.cfg pour toutes les machines ayant besoin d'un nouveau certificat.
    Le fichier certool.cfg se trouve dans le répertoire /usr/lib/vmware-vmca/share/config/.
  2. Modifiez le fichier de configuration personnalisée de chaque machine pour inclure le nom de domaine complet de la machine.
    Exécutez NSLookup sur l'adresse IP de la machine pour voir le nom figurant dans la liste DNS et utilisez ce nom pour le champ Hostname du fichier.
  3. Générez une paire de fichiers de clé publique/privée et un certificat pour chaque machine, en transmettant le fichier de configuration que vous venez de personnaliser.
    Par exemple :
    certool --genkey --privkey=machine1.priv --pubkey=machine1.pub
    certool --gencert --privkey=machine1.priv --cert machine42.crt --Name=Machine42_Cert --config machine1.cfg
  4. Arrêtez tous les services et démarrez ceux qui gèrent la création, la propagation et le stockage des certificats.
    service-control --stop --all
    service-control --start vmafdd
    service-control --start vmdird
    service-control --start vmcad
    
  5. Ajoutez le nouveau certificat à VECS.
    Le nouveau certificat doit figurer dans le magasin de certificats local de toutes les machines pour que celles-ci puissent communiquer sur SSL. Vous devez d'abord supprimer l'entrée existante, puis ajouter la nouvelle entrée.
    vecs-cli entry delete --store MACHINE_SSL_CERT --alias __MACHINE_CERT  
    vecs-cli entry create --store MACHINE_SSL_CERT --alias __MACHINE_CERT --cert machine1.cert
    --key machine1.priv
  6. Redémarrez tous les services.
    service-control --start --all

Exemple : Remplacement des certificats SSL de machine (VMCA est l'autorité de certification intermédiaire)

  1. Créez un fichier de configuration pour le certificat SSL et enregistrez-le sous le nom ssl-config.cfg dans le répertoire actuel.
    Country = US
    Name = vmca-<FQDN-example>
    Organization = VMware
    OrgUnit = VMware Engineering
    State = California 
    Locality = Palo Alto
    Hostname = <FQDN>
  2. Générez une paire de clés pour le certificat SSL de machine. Dans un déploiement de plusieurs instances de vCenter Server connectées dans une configuration Enhanced Linked Mode, exécutez cette commande sur chaque nœud vCenter Server.
    /usr/lib/vmware-vmca/bin/certool --genkey --privkey=ssl-key.priv --pubkey=ssl-key.pub
    

    Les fichiers ssl-key.priv et ssl-key.pub sont créés dans le répertoire actuel.

  3. Générez le nouveau certificat SSL de machine. Ce certificat est signé par VMCA. Si vous remplacez le certificat racine VMCA par un certificat personnalisé, VMCA signe tous les certificats avec la chaîne complète.
    /usr/lib/vmware-vmca/bin/certool --gencert --cert=new-vmca-ssl.crt --privkey=ssl-key.priv --config=ssl-config.cfg

    Le fichier new-vmca-ssl.crt est créé dans le répertoire actuel.

  4. (Facultatif) Répertoriez le contenu de VECS.
    /usr/lib/vmware-vmafd/bin/vecs-cli store list
    • Exemple de sortie sur vCenter Server :
      output (on vCenter):
      MACHINE_SSL_CERT
      TRUSTED_ROOTS
      TRUSTED_ROOT_CRLS
      machine
      vsphere-webclient
      vpxd
      vpxd-extension
      hvc
      data-encipherment
      APPLMGMT_PASSWORD
      SMS
      wcp
      KMS_ENCRYPTION
  5. Remplacez le certificat SSL de machine dans VECS par le nouveau certificat SSL de machine. Les valeurs --store et --alias doivent correspondre exactement aux noms par défaut.
    • Sur chaque instance de vCenter Server, exécutez les commandes suivantes pour mettre à jour le certificat SSL de machine dans le magasin MACHINE_SSL_CERT. Vous devez mettre à jour le certificat de chaque machine séparément. En effet, chaque machine possède un nom de domaine complet qui lui est propre.
      /usr/lib/vmware-vmafd/bin/vecs-cli entry delete --store MACHINE_SSL_CERT --alias __MACHINE_CERT
      /usr/lib/vmware-vmafd/bin/vecs-cli entry create --store MACHINE_SSL_CERT --alias __MACHINE_CERT --cert new-vmca-ssl.crt --key ssl-key.priv
      

Remplacer les certificats d'utilisateur de solutions (autorité de certification intermédiaire) à l'aide de la CLI

Après avoir remplacé les certificats SSL de machine, vous pouvez utiliser la CLI pour remplacer les certificats d'utilisateurs de solutions.

De nombreux clients VMware ne remplacent pas les certificats d'utilisateur de solution. Ils se contentent de remplacer les certificats SSL de la machine par des certificats personnalisés. Cette approche hybride répond aux exigences de leurs équipes de sécurité.
  • Les certificats se trouvent derrière un proxy, ou ce sont des certificats personnalisés.
  • Aucune autorité de certification intermédiaire n'est utilisée.

Vous remplacez le certificat d'utilisateur de solution de machine et le certificat d'utilisateur de solution sur chaque système vCenter Server.

Note : Lorsque vous répertoriez les certificats d'utilisateurs de solutions dans des déploiements importants, le résultat de /usr/lib/vmware-vmafd/bin/dir-cli list inclut tous les utilisateurs de solutions de tous les nœuds. Exécutez /usr/lib/vmware-vmafd/bin/vmafd-cli get-machine-id --server-name localhost pour rechercher l'ID de machine locale de chaque hôte. Chaque nom d'utilisateur de solution comprend l'ID de machine.

Conditions préalables

Chaque certificat d'utilisateur de la solution doit avoir un paramètre Subject différent. Vous pouvez par exemple saisir le nom de l'utilisateur de la solution (tel que vpxd) ou un autre identifiant unique.

Procédure

  1. Faites une copie de certool.cfg, supprimez les champs Nom, Adresse IP, Nom DNS et E-mail, puis remplacez le nom du fichier par sol_usr.cfg, par exemple.
    Vous pouvez nommer les certificats de la ligne de commande dans le cadre de la génération. Les autres informations ne sont pas nécessaires pour les utilisateurs de la solution. Si vous laissez les informations par défaut, les certificats générés peuvent être source de confusion.
  2. Générez une paire de fichiers de clé publique/privée et un certificat pour chaque utilisateur de solution, puis transmettez le fichier de configuration que vous venez de personnaliser.
    Par exemple :
    certool --genkey --privkey=vpxd.priv --pubkey=vpxd.pub
    certool --gencert --privkey=vpxd.priv --cert vpxd.crt --Name=VPXD_1 --config sol_usr.cfg
  3. Recherchez le nom de chaque utilisateur de la solution.
    /usr/lib/vmware-vmafd/bin/dir-cli service list 
    
    Vous pouvez utiliser l'ID unique renvoyé lorsque vous remplacez les certificats. L'entrée et la sortie peuvent se présenter comme suit.
    /usr/lib/vmware-vmafd/bin/dir-cli service list
    Enter password for [email protected]:
    1. machine-623bef28-0311-436e-b21f-6e0d39aa5179
    2. vsphere-webclient-623bef28-0311-436e-b21f-6e0d39aa5179
    3. vpxd-623bef28-0311-436e-b21f-6e0d39aa5179
    4. vpxd-extension-623bef28-0311-436e-b21f-6e0d39aa5179
    5. hvc-623bef28-0311-436e-b21f-6e0d39aa5179
    6. wcp-1cbe0a40-e4ce-4378-b5e7-9460e2b8200e
    Dans un déploiement de plusieurs instances de vCenter Server connectées dans une configuration Enhanced Linked Mode, la sortie de /usr/lib/vmware-vmafd/bin/dir-cli service list inclut tous les utilisateurs de solution de tous les nœuds. Exécutez /usr/lib/vmware-vmafd/bin/vmafd-cli get-machine-id --server-name localhost pour rechercher l'ID de machine locale de chaque hôte. Chaque nom d'utilisateur de solution comprend l'ID de machine.
  4. Arrêtez tous les services et démarrez ceux qui gèrent la création, la propagation et le stockage des certificats.
    service-control --stop --all
    service-control --start vmafdd
    service-control --start vmdird
    service-control --start vmcad
    
  5. Remplacement du certificat existant dans vmdir puis dans VECS.
    Pour les utilisateurs de solution, vous devez ajouter les certificats dans cet ordre. Par exemple :
    dir-cli service update --name <vpxd-xxxx-xxx-7c7b769cd9f4> --cert ./vpxd.crt
    vecs-cli entry delete --store vpxd --alias vpxd
    vecs-cli entry create --store vpxd --alias vpxd --cert vpxd.crt --key vpxd.priv
    
    Note : Les utilisateurs de solution ne peuvent pas se connecter à vCenter Single Sign-On si vous ne remplacez pas le certificat dans vmdir.
  6. Redémarrez tous les services.
    service-control --start --all

Exemple : Remplacer les certificats d'utilisateurs de solution (autorité de certification intermédiaire)

  1. Générez une paire de clé publique/privée pour chaque utilisateur de solution sur chaque nœud vCenter Server dans une configuration Enhanced Linked Mode. Cela inclut une paire pour la solution de machine et une paire pour chaque utilisateur de solution supplémentaire (vpxd, vpxd-extension, vsphere-webclient, wcp).
    1. Générez une paire de clés pour l'utilisateur de solution de machine.
      /usr/lib/vmware-vmca/bin/certool --genkey --privkey=machine-key.priv --pubkey=machine-key.pub
      
    2. Générez une paire de clés pour l'utilisateur de solution vpxd sur chaque nœud.
      /usr/lib/vmware-vmca/bin/certool --genkey --privkey=vpxd-key.priv --pubkey=vpxd-key.pub
    3. Générez une paire de clés pour l'utilisateur de solution vpxd-extension sur chaque nœud.
      /usr/lib/vmware-vmca/bin/certool --genkey --privkey=vpxd-extension-key.priv --pubkey=vpxd-extension-key.pub
    4. Générez une paire de clés pour l'utilisateur de solution vsphere-webclient sur chaque nœud.
      /usr/lib/vmware-vmca/bin/certool --genkey --privkey=vsphere-webclient-key.priv --pubkey=vsphere-webclient-key.pub
    5. Générez une paire de clés pour l'utilisateur de solution wcp sur chaque nœud.
      /usr/lib/vmware-vmca/bin/certool --genkey --privkey=wcp-key.priv --pubkey=wcp-key.pub
  2. Générez des certificats d'utilisateurs de solutions qui sont signés par le nouveau certificat racine VMCA pour l'utilisateur de solution de machine et pour chaque utilisateur de solution supplémentaire (vpxd, vpxd-extension, vsphere-webclient, wcp) sur chaque nœud vCenter Server.
    Note : Le paramètre --Name doit être unique. Le fait d'inclure le nom du magasin de l'utilisateur de solution permet de voir facilement la correspondance entre un certificat et un utilisateur de solution. L'exemple inclut le nom, par exemple vpxd ou vpxd-extension, dans chaque cas.
    1. Faites une copie du fichier /usr/lib/vmware-vmca/share/config/certool.cfg, puis modifiez ou supprimez les champs Nom, Adresse IP, Nom DNS et E-mail si nécessaire, puis renommez le fichier (par exemple, sol_usr.cfg).
    2. Générez un certificat pour l'utilisateur de solution de machine sur chaque nœud.
      /usr/lib/vmware-vmca/bin/certool --gencert --cert=new-machine.crt --privkey=machine-key.priv --Name=machine --config sol_usr.cfg
    3. Générez un certificat pour l'utilisateur de solution vpxd sur chaque nœud.
      /usr/lib/vmware-vmca/bin/certool --gencert --cert=new-vpxd.crt --privkey=vpxd-key.priv --Name=vpxd --config sol_usr.cfg
      
    4. Générez un certificat pour l'utilisateur de solution vpxd-extensions sur chaque nœud.
      /usr/lib/vmware-vmca/bin/certool --gencert --cert=new-vpxd-extension.crt --privkey=vpxd-extension-key.priv --Name=vpxd-extension --config sol_usr.cfg
    5. Générez un certificat pour l'utilisateur de solution vsphere-webclient sur chaque nœud en exécutant la commande suivante.
      /usr/lib/vmware-vmca/bin/certool --gencert --cert=new-vsphere-webclient.crt --privkey=vsphere-webclient-key.priv --Name=vsphere-webclient --config sol_usr.cfg
    6. Générez un certificat pour l'utilisateur de solution wcp sur chaque nœud en exécutant la commande suivante.
      /usr/lib/vmware-vmca/bin/certool --gencert --cert=new-wcp.crt --privkey=wcp-key.priv --Name=wcp --config sol_usr.cfg
  3. Remplacez les certificats d'utilisateurs de solutions dans VECS par les nouveaux certificats d'utilisateurs de solutions.
    Note : Les paramètres --store et --alias doivent correspondre exactement aux noms par défaut des services.
    1. Remplacez le certificat d'utilisateur de solution de machine sur chaque nœud :
      /usr/lib/vmware-vmafd/bin/vecs-cli entry delete --store machine --alias machine
      /usr/lib/vmware-vmafd/bin/vecs-cli entry create --store machine --alias machine --cert new-machine.crt --key machine-key.priv
      
    2. Remplacez le certificat d'utilisateur de solution vpxd sur chaque nœud.
      /usr/lib/vmware-vmafd/bin/vecs-cli entry delete --store vpxd --alias vpxd
      /usr/lib/vmware-vmafd/bin/vecs-cli entry create --store vpxd --alias vpxd --cert new-vpxd.crt --key vpxd-key.priv
      
    3. Remplacez le certificat d'utilisateur de solution vpxd-extension sur chaque nœud.
      /usr/lib/vmware-vmafd/bin/vecs-cli entry delete --store vpxd-extension --alias vpxd-extension
      /usr/lib/vmware-vmafd/bin/vecs-cli entry create --store vpxd-extension --alias vpxd-extension --cert new-vpxd-extension.crt --key vpxd-extension-key.priv
      
    4. Remplacez le certificat d'utilisateur de solution vsphere-webclient sur chaque nœud.
      /usr/lib/vmware-vmafd/bin/vecs-cli entry delete --store vsphere-webclient --alias vsphere-webclient
      /usr/lib/vmware-vmafd/bin/vecs-cli entry create --store vsphere-webclient --alias vsphere-webclient --cert new-vsphere-webclient.crt --key vsphere-webclient-key.priv
      
    5. Remplacez le certificat d'utilisateur de solution wcp sur chaque nœud.
      /usr/lib/vmware-vmafd/bin/vecs-cli entry delete --store wcp --alias wcp
      /usr/lib/vmware-vmafd/bin/vecs-cli entry create --store wcp --alias wcp --cert new-wcp.crt --key wcp-key.priv
      
  4. Mettez à jour VMware Directory Service (vmdir) avec les nouveaux certificats d'utilisateurs de solutions. Vous êtes invité à entrer un mot de passe d'administrateur vCenter Single Sign-On.
    1. Exécutez /usr/lib/vmware-vmafd/bin/dir-cli service list pour obtenir le suffixe d'ID de service unique pour chaque utilisateur de solution. Vous exécutez cette commande sur un système vCenter Server.
      /usr/lib/vmware-vmafd/bin/dir-cli service list
      output:
      1. machine-623bef28-0311-436e-b21f-6e0d39aa5179
      2. vsphere-webclient-623bef28-0311-436e-b21f-6e0d39aa5179
      3. vpxd-623bef28-0311-436e-b21f-6e0d39aa5179
      4. vpxd-extension-623bef28-0311-436e-b21f-6e0d39aa5179
      5. hvc-623bef28-0311-436e-b21f-6e0d39aa5179
      6. wcp-1cbe0a40-e4ce-4378-b5e7-9460e2b8200e
      Note : Lorsque vous répertoriez les certificats d'utilisateurs de solutions dans des déploiements importants, le résultat de /usr/lib/vmware-vmafd/bin/dir-cli list inclut tous les utilisateurs de solutions de tous les nœuds. Exécutez /usr/lib/vmware-vmafd/bin/vmafd-cli get-machine-id --server-name localhost pour rechercher l'ID de machine locale de chaque hôte. Chaque nom d'utilisateur de solution comprend l'ID de machine.
    2. Remplacez le certificat de machine dans vmdir sur chaque nœud vCenter Server. Par exemple, si machine-6fd7f140-60a9-11e4-9e28-005056895a69 correspond à l'utilisateur de solution de machine sur vCenter Server, exécutez la commande suivante :
      /usr/lib/vmware-vmafd/bin/dir-cli service update --name machine-6fd7f140-60a9-11e4-9e28-005056895a69 --cert new-machine.crt
    3. Remplacez le certificat d'utilisateur de solution vpxd dans vmdir sur chaque nœud. Par exemple, si vpxd-6fd7f140-60a9-11e4-9e28-005056895a69 correspond à l'ID d'utilisateur de solution vpxd, exécutez la commande suivante :
      /usr/lib/vmware-vmafd/bin/dir-cli service update --name vpxd-6fd7f140-60a9-11e4-9e28-005056895a69 --cert new-vpxd.crt
    4. Remplacez le certificat d'utilisateur de solution vpxd-extension dans vmdir sur chaque nœud. Par exemple, si vpxd-extension-6fd7f140-60a9-11e4-9e28-005056895a69 correspond à l'ID d'utilisateur de solution vpxd-extension, exécutez la commande suivante :
      /usr/lib/vmware-vmafd/bin/dir-cli service update --name vpxd-extension-6fd7f140-60a9-11e4-9e28-005056895a69 --cert new-vpxd-extension.crt
      
    5. Remplacez le certificat d'utilisateur de solution vsphere-webclient sur chaque nœud. Par exemple, si vsphere-webclient-6fd7f140-60a9-11e4-9e28-005056895a69 correspond à l'ID d'utilisateur de solution vsphere-webclient, exécutez la commande suivante :
      /usr/lib/vmware-vmafd/bin/dir-cli service update --name vsphere-webclient-6fd7f140-60a9-11e4-9e28-005056895a69 --cert new-vsphere-webclient.crt
      
    6. Remplacez le certificat d'utilisateur de solution wcp sur chaque nœud. Par exemple, si wcp-1cbe0a40-e4ce-4378-b5e7-9460e2b8200e correspond à l'ID d'utilisateur de solution wcp, exécutez la commande suivante :
      /usr/lib/vmware-vmafd/bin/dir-cli service update --name wcp-1cbe0a40-e4ce-4378-b5e7-9460e2b8200e --cert new-wcp.crt