vSphere fournit une sécurité en utilisant des certificats pour chiffrer les communications, authentifier des services et signer des jetons.

Utilisation des certificats par vSphere

vSphere utilise des certificats pour :
  • Chiffrer les communications entre deux nœuds, comme une instance de vCenter Server et un hôte ESXi.
  • Authentifiez les services vSphere.
  • Effectuer des actions internes telles que la signature des jetons.

Présentation de VMware Certificate Authority

L'autorité de certification interne de vSphere, VMware Certificate Authority (VMCA), fournit tous les certificats nécessaires pour vCenter Server et ESXi. VMCA est installé sur chaque hôte vCenter Server, ce qui sécurise immédiatement la solution sans autre modification requise. Le maintien de cette configuration par défaut permet la surcharge opérationnelle la plus faible pour la gestion des certificats. vSphere fournit un mécanisme permettant de renouveler ces certificats s'ils arrivent à expiration.

vSphere fournit également un mécanisme pour remplacer certains certificats par vos propres certificats. Toutefois, remplacez uniquement le certificat SSL qui fournit un chiffrement entre les nœuds pour conserver une faible surcharge de gestion des certificats.

Options de gestion des certificats vSphere

Les options suivantes sont recommandées pour la gestion des certificats.

Tableau 1. Options recommandées pour la gestion des certificats vSphere
Mode Description Avantages
Certificats VMCA par défaut VMCA fournit tous les certificats requis pour les hôtes vCenter Server et ESXi. Surcharge la plus simple et la plus faible. VMCA peut gérer le cycle de vie des certificats de vCenter Server et des hôtes ESXi.
Certificats VMCA par défaut avec certificats SSL externes (mode hybride) Vous remplacez les certificats SSL de vCenter Server et autorisez VMCA à gérer les certificats pour les utilisateurs de solution et les hôtes ESXi. Le cas échéant, pour les déploiements hautement sécurisés, vous pouvez également remplacer les certificats SSL de l'hôte ESXi. Simple et sécurisée. VMCA gère les certificats internes, mais vous bénéficiez de l'utilisation de vos certificats SSL approuvés par l'entreprise et ces certificats sont approuvés par les navigateurs.

VMware ne recommande pas le remplacement des certificats d'utilisateur de solution ou STS, ni l'utilisation d'une autorité de certification subordonnée à la place de VMCA. Si vous choisissez une de ces options, vous vous exposez à plus de complexité et un risque potentiel pour votre sécurité, ce qui représente une augmentation inutile dans vos risques opérationnels. Pour plus d'informations sur la gestion des certificats dans un environnement vSphere, consultez le blog intitulé Nouvelle procédure produit - Remplacement hybride des certificats SSL vSphere à l'adresse http://vmware.com/go/hybridvmca.

Outils disponibles pour remplacer les certificats vSphere

Vous pouvez utiliser les options suivantes pour remplacer les certificats existants.

Tableau 2. Différentes approches du remplacement de certificats vSphere
Option Reportez-vous au
Utilisez vSphere Client. Gestion des certificats avec vSphere Client
Utilisez l'API de vSphere Automation pour gérer le cycle de vie des certificats. Guide de programmation des SDK de VMware vSphere Automation à l'adresse https://developer.vmware.com/docs/11699/vmware-vsphere-automation-sdks-programming-guide
Utilisez l'utilitaire vSphere Certificate Manager à partir de la ligne de commande. Gestion des certificats à l’aide de l’utilitaire vSphere Certificate Manager
Utilisez les commandes CLI pour remplacer des certificats manuellement. Référence des commandes CLI vSphere Certificates and Services