Les exigences en matière de certificats varient si vous utilisez VMware Certificate Authority (VMCA) comme autorité de certification intermédiaire ou si vous utilisez des certificats personnalisés. Les exigences sont également différentes pour les certificats de machine.

Avant de commencer à modifier les certificats, assurez-vous que l'heure est synchronisée sur tous les nœuds de votre environnement vSphere.

Note : vSphere déploie uniquement des certificats RSA pour l'authentification du serveur et ne prend pas en charge la génération de certificats ECDSA. vSphere vérifie les certificats ECDSA présentés par d'autres serveurs. Par exemple, si vSphere se connecte à un serveur Syslog et que le serveur Syslog dispose d'un certificat ECDSA, vSphere prend en charge la vérification de ce certificat.

Conditions requises pour tous les certificats vSphere importés

  • Taille de clé : de 2 048 bits (minimum) à 8 192 bits (maximum) (codée au format PEM). vSphere Client et l'API acceptent toujours une taille de clé allant jusqu'à 16 384 bits lors de la génération de la demande de signature de certificat.
    Note : Dans vSphere 8.0, vous pouvez uniquement générer des demandes de signature de certificat (CSR) d'une longueur de clé minimale de 3 072 bits lorsque vous utilisez vSphere Client ou vSphere Certificate Manager. vCenter Server accepte toujours les certificats personnalisés ayant une longueur de clé de 2 048 bits. Dans vSphere 8.0 Update 1 et versions ultérieures, vous pouvez utiliser le vSphere Client pour générer une CSR d'une longueur de clé de 2 048 bits.
    Note : Le certificat FIPS de vSphere valide uniquement les tailles de clé RSA de 2 048 bits et 3 072 bits.
  • Format PEM. VMware prend en charge PKCS8 et PKCS1 (clés RSA). Lorsque vous ajoutez des clés à VECS, elles sont converties en PKCS8.
  • x509 version 3
  • SubjectAltName doit contenir DNS Name=machine_FQDN
  • Format CRT
  • Contient les utilisations de clé suivantes : signature numérique, chiffrement de clé.
  • Lors de l'exemption du certificat d'utilisateur de solution vpxd-extension, le champ Utilisation étendue de la clé peut être vide ou contenir la valeur du champ Authentification du serveur.
vSphere ne prend pas en charge les certificats suivants.
  • Certificats comportant des caractères génériques.
  • Les algorithmes md2WithRSAEncryption, md5WithRSAEncryption, RSASSA-PSS, dsaWithSHA1, ecdsa_with_SHA1 et sha1WithRSAEncryption ne sont pas pris en charge.
  • Lors de la création d'un certificat SSL de machine personnalisé pour vCenter Server, l'authentification du serveur et l'authentification client ne sont pas prises en charge et doivent être supprimées lors de l'utilisation des modèles d'autorité de certification (CA) Microsoft. Pour plus d'informations, reportez-vous à l'article de la base de connaissances VMware à l'adresse https://kb.vmware.com/s/article/2112009.

Conformité du certificat vSphere à la norme RFC 2253

Le certificat doit être conforme à la norme RFC 2253.

Si vous ne générez pas de demande de signature de certificat à l'aide de vSphere Certificate Manager, assurez-vous que la demande comprend les champs suivants.

String AttributeType X.500
CN commonName
L localityName
ST stateOrProvinceName
O organizationName
OU organizationalUnitName
C countryName
STREET streetAddress
DC domainComponent
UID userid
Si vous générez des demandes de signature de certificat à l'aide de vSphere Certificate Manager, vous êtes invité à entrer les informations suivantes et vSphere Certificate Manager ajoute les champs correspondants dans le fichier CSR.
  • Mot de passe de l'utilisateur [email protected] ou de l'administrateur du domaine vCenter Single Sign-On auquel vous vous connectez.
  • Informations que vSphere Certificate Manager enregistre dans le fichier certool.cfg. Pour la plupart des champs, vous pouvez accepter les valeurs par défaut ou entrer des valeurs spécifiques au site. Le FQDN de la machine est requis.
    • Mot de passe pour [email protected]
    • Code pays à deux lettres
    • Nom de la société
    • Nom de l'organisation
    • Unité d'organisation
    • État
    • Ville
    • Adresse IP (facultatif)
    • E-mail
    • Nom de l'hôte, à savoir le nom de domaine complet de la machine dont vous souhaitez remplacer le certificat. Si le nom de l'hôte ne correspond pas au nom de domaine complet, le remplacement du certificat ne se fait pas correctement et votre environnement risque de devenir instable.
    • Adresse IP du nœud vCenter Server sur lequel vous exécutez vSphere Certificate Manager.
Note : Le champ OU (organizationalUnitName) n'est plus obligatoire.

Exigences en matière de certificats lorsque VMCA est utilisé comme autorité de certification intermédiaire

Lorsque vous utilisez VMCA comme autorité de certification intermédiaire, les certificats doivent répondre aux exigences suivantes.

Type de certificat Exigences en matière de certificats
Certificat racine
  • Vous pouvez utiliser vSphere Certificate Manager pour générer la demande de signature de certificat. Reportez-vous à la section Générer une demande de signature de certificat avec Certificate Manager et préparer un certificat racine (autorité de certification intermédiaire).
  • Si vous préférez créer la demande de signature de certificat manuellement, le certificat envoyé pour signature doit satisfaire les conditions suivantes :
    • Taille de clé : de 2 048 bits (minimum) à 8 192 bits (maximum) (codée au format PEM)
    • Format PEM. VMware prend en charge PKCS8 et PKCS1 (clés RSA). Lorsque des clés sont ajoutées à VECS, elles sont converties en PKCS8.
    • x509 version 3
    • L‘extension d'autorité de certification doit être définie sur true pour les certificats racines et la signature de certification doit figurer dans la liste de conditions requises. Par exemple :
      basicConstraints        = critical,CA:true
keyUsage                = critical,digitalSignature,keyCertSign
    • La signature CRL doit être activée.
    • Le champ Utilisation étendue de la clé peut être vide ou contenir la valeur du champ Authentification du serveur.
    • Aucune limite explicite à la longueur de la chaîne de certificats. VMCA utilise la valeur par défaut OpenSSL, qui est 10 certificats.
    • Les certificats incluant des caractères génériques ou plusieurs noms DNS ne sont pas pris en charge.
    • Vous ne pouvez pas créer d'autorités de certification filiales de VMCA.

      Reportez-vous à l'article « Creating a Microsoft Certificate Authority Template for SSL certificate creation in vSphere 6.x » de la base de connaissances VMware à l'adresse https://kb.vmware.com/s/article/2112009 pour consulter un exemple d'utilisation de l'autorité de certification Microsoft.

Certificat SSL de machine

Vous pouvez utiliser vSphere Certificate Manager pour créer la demande de signature de certificat ou pour créer manuellement la demande de signature de certificat.

Si vous créez manuellement la demande de signature de certificat, elle doit répondre aux exigences répertoriées précédemment sous Exigences pour tous les certificats vSphere importés. Vous devez également spécifier le nom de domaine complet de l'hôte.

Certificat d'utilisateur de solution

Vous pouvez utiliser vSphere Certificate Manager pour créer la demande de signature de certificat ou pour créer manuellement la demande de signature de certificat.

Note : Vous devez utiliser une valeur différente pour le nom de chaque utilisateur de solution. Si vous générez le certificat manuellement, il peut s'afficher comme CN sous Objet, en fonction de l'outil que vous utilisez.

Si vous utilisez vSphere Certificate Manager, l'outil vous invite à entrer les informations de certificat pour chaque utilisateur de solution. vSphere Certificate Manager stocke les informations dans certool.cfg.

Pour l'utilisateur de solution vpxd-extension, vous pouvez laisser vide l'option Utilisation de clé étendue ou utiliser « Authentification client WWW TLS ».

Exigences lors de l'utilisation des certificats personnalisés

Lorsque vous voulez utiliser des certificats personnalisés, ils doivent répondre aux exigences suivantes.

Type de certificat Exigences en matière de certificats
Certificat SSL de machine Le certificat SSL de machine sur chaque nœud doit avoir un certificat distinct de votre autorité de certification d'entreprise ou tierce.
  • Vous pouvez générer la demande de signature de certificat à l'aide de vSphere Client ou vSphere Certificate Manager, ou en créer une manuellement. La demande de signature de certificat doit répondre aux exigences répertoriées précédemment sous Exigences pour tous les certificats vSphere importés.
  • Pour la plupart des champs, vous pouvez accepter les valeurs par défaut ou entrer des valeurs spécifiques au site. Le FQDN de la machine est requis.
Certificat d'utilisateur de solution Chaque utilisateur de solution sur chaque nœud doit avoir un certificat distinct de votre autorité de certification d'entreprise ou tierce.
  • Vous pouvez générer les demandes de signature de certificat à l'aide de vSphere Certificate Manager ou en préparer une vous-même. La demande de signature de certificat doit répondre aux exigences répertoriées précédemment sous Exigences pour tous les certificats vSphere importés.

  • Si vous utilisez vSphere Certificate Manager, l'utilitaire vous invite à entrer les informations de certificat pour chaque utilisateur de solution. vSphere Certificate Manager stocke les informations dans certool.cfg.

    Note : Vous devez utiliser une valeur différente pour le nom de chaque utilisateur de solution. Un certificat généré manuellement peut s'afficher comme CN sous Objet, en fonction de l'outil que vous utilisez.

Lorsque vous remplacez ultérieurement les certificats d'utilisateurs de solution par des certificats personnalisés, indiquez la chaîne de certificats de signature complète de l'autorité de certification tierce.

Pour l'utilisateur de solution vpxd-extension, vous pouvez laisser vide l'option Utilisation de clé étendue ou utiliser « Authentification client WWW TLS ».