Si la stratégie de votre entreprise l'exige, vous pouvez utiliser l'interface de ligne de commande pour remplacer partiellement ou totalement les certificats utilisés dans vSphere par des certificats signés par une autorité de certification d'entreprise ou tierce. Le cas échéant, VMCA n'est pas votre chaîne de certificats. Il vous incombe de stocker tous les certificats vCenter dans VECS.
Même si vous décidez d'utiliser des certificats personnalisés, vous pouvez toujours utiliser l'utilitaire VMware Certificate Manager pour le remplacement des certificats. Reportez-vous à la section Remplacer tous les certificats par un certificat personnalisé à l'aide de Certificate Manager.
Si vous rencontrez des problèmes avec vSphere Auto Deploy après le remplacement des certificats, consultez l'article de la base de connaissances VMware accessible à l'adresse https://kb.vmware.com/s/article/2000988.
Demander des certificats et importer un certificat racine personnalisé à l'aide de la CLI
Vous pouvez utiliser des certificats personnalisés d'une autorité de certification d'entreprise ou tierce. La première étape consiste à demander les certificats auprès de l'autorité de certification, puis à utiliser la CLI pour importer les certificats racines dans le magasin de certificats VMware Endpoint (VECS).
Conditions préalables
Le certificat doit répondre à la configuration requise suivante :
- Taille de clé : de 2 048 bits (minimum) à 8 192 bits (maximum) (codée au format PEM)
- Format PEM. VMware prend en charge PKCS8 et PKCS1 (clés RSA). Lorsque des clés sont ajoutées à VECS, elles sont converties en PKCS8.
- x509 version 3
- Pour les certificats racines, l'extension d'autorité de certification doit être définie sur vrai et la signature de certification doit figurer dans la liste de conditions requises.
- SubjectAltName doit contenir DNS Name=<machine_FQDN>.
- Format CRT
- Contient les utilisations de clé suivantes : signature numérique, chiffrement de clé
- Heure de début antérieure d'un jour à l'heure actuelle.
- CN (et SubjectAltName) défini sur le nom de l'hôte (ou l'adresse IP) de l'hôte ESXi dans l'inventaire vCenter Server.
Procédure
Que faire ensuite
Vous pouvez supprimer le certificat racine VMCA initial du magasin de certificats si la stratégie de votre entreprise l'exige. Dans ce cas, vous devez actualiser le certificat vCenter Single Sign-On. Reportez-vous à la section Remplacer un certificat STS vCenter Server à l'aide de la ligne de commande.
Remplacer les certificats SSL de machine par des certificats personnalisés à l'aide de la CLI
Après avoir reçu les certificats personnalisés, vous pouvez utiliser la CLI pour remplacer chaque certificat de machine.
- Mot de passe pour [email protected]
- Certificat personnalisé SSL valide de la machine (fichier .crt)
- Clé personnalisée SSL valide de la machine (fichier .key)
- Certificat personnalisé valide pour Root (fichier .crt)
Conditions préalables
Vous devez avoir reçu de votre autorité de certification tierce ou d'entreprise un certificat pour chaque machine.
- Taille de clé : de 2 048 bits (minimum) à 8 192 bits (maximum) (codée au format PEM)
- Format CRT
- x509 version 3
- SubjectAltName doit contenir DNS Name=<machine_FQDN>.
- Contient les utilisations de clé suivantes : signature numérique, chiffrement de clé
Effectuez ces étapes sur chaque hôte vCenter Server.