Vous pouvez utiliser vSphere Client pour remplacer les certificats par défaut par des certificats personnalisés.

Vous pouvez utiliser vSphere Client pour générer des demandes de signature de certificat pour chaque machine et remplacer les certificats lorsque vous les recevez de votre autorité de certification interne ou tierce. Lorsque vous soumettez les demandes de signature de certificat à votre autorité de certification interne ou tierce, l'autorité de certification renvoie les certificats signés et le certificat racine. Vous pouvez télécharger le certificat racine et les certificats signés à partir de vSphere Client.

Générer une demande de signature de certificat pour un certificat SSL de machine à l'aide de vSphere Client (certificats personnalisés)

Le certificat SSL de machine est utilisé par le service de proxy inverse sur chaque nœud vCenter Server. Chaque machine doit avoir un certificat SSL de machine pour la communication sécurisée avec d'autres services. Vous pouvez utiliser vSphere Client pour générer une demande de signature de certificat (CSR) pour le certificat SSL de machine et pour remplacer le certificat une fois qu'il est prêt.

Conditions préalables

Le certificat doit répondre à la configuration requise suivante :

  • Taille de clé : de 2 048 bits (minimum) à 16 384 bits (maximum) (codée au format PEM)
  • Format CRT
  • x509 version 3
  • SubjectAltName doit contenir DNS Name=<machine_FQDN>.
  • Contient les utilisations de clé suivantes : signature numérique, chiffrement de clé

Procédure

  1. Connectez-vous avec vSphere Client à l'instance de vCenter Server.
  2. Spécifiez le nom d'utilisateur et le mot de passe pour administrator@vsphere.local ou un autre membre du groupe d'administrateurs de vCenter Single Sign-On.
    Si vous avez spécifié un autre domaine lors de l'installation, connectez-vous en tant qu'administrator@ mydomain.
  3. Accédez à l'interface utilisateur de gestion de certificat.
    1. Dans le menu Accueil, sélectionnez Administration.
    2. Sous Certificats, cliquez sur Gestion des certificats.
  4. Entrez les informations d'identification de votre vCenter Server.
  5. Générer la demande de signature de certificat.
    1. Sous la vignette Certificat SSL de machine, cliquez sur Actions > Générer la demande de signature de certificat (CSR).
    2. Entrez vos informations de certificat et cliquez sur Suivant.
      À partir de vSphere 8.0, 3 072 (bits) est la valeur par défaut pour la taille de clé. 2 048 n'est plus pris en charge lors de la génération d'une CSR à l'aide de vSphere Client. vCenter Server accepte toujours les certificats personnalisés ayant une longueur de clé de 2 048 bits. Toutefois, à partir de vSphere 8.0, vous pouvez uniquement générer des CSR à l'aide de vSphere Client avec une longueur de clé minimale de 3 072 bits.
      Note : Lorsque vous utilisez vCenter Server pour générer une demande de signature de certificat avec une taille de clé de 16 384 bits, la génération prend quelques minutes car cette opération est gourmande en CPU.
    3. Copiez ou téléchargez la demande de signature de certificat.
    4. Cliquez sur Terminer.
    5. Fournissez la demande de signature de certificat à votre autorité de certification.

Que faire ensuite

Lorsque l'autorité de certification renvoie le certificat, remplacez le certificat existant dans le magasin de certificats. Reportez-vous à la section Ajouter des certificats personnalisés avec vSphere Client.

Ajouter un certificat racine approuvé au magasin de certificats avec vSphere Client

Si vous souhaitez utiliser des certificats tiers dans votre environnement, vous devez ajouter un certificat racine approuvé au magasin de certificats. Pour cela, vous pouvez utiliser vSphere Client.

Conditions préalables

Obtenez le certificat racine personnalisé de votre autorité de certification (CA) tierce ou interne.

vSphere n'accepte que les certificats d'autorité de certification valides pour l'importation. Pour être valide, un certificat d'autorité de certification doit avoir le bit CA et le bit keyCertSign définis dans la contrainte de base et les extensions de certificat X.509 v3 d'utilisation de clé, respectivement. Cela signifie que le certificat est une autorité de certification et que son objectif est la signature de certificat. Pour plus d'informations, consultez le site Web https://www.rfc-editor.org/rfc/rfc5280.

Procédure

  1. Connectez-vous avec vSphere Client à l'instance de vCenter Server.
  2. Spécifiez le nom d'utilisateur et le mot de passe pour administrator@vsphere.local ou un autre membre du groupe d'administrateurs de vCenter Single Sign-On.
    Si vous avez spécifié un autre domaine lors de l'installation, connectez-vous en tant qu'administrator@ mydomain.
  3. Accédez à l'interface utilisateur de gestion de certificat.
    1. Dans le menu Accueil, sélectionnez Administration.
    2. Sous Certificats, cliquez sur Gestion des certificats.
  4. Si le système vous y invite, entrez les informations d'identification de votre instance de vCenter Server.
  5. Sous Certificats racines approuvés, cliquez sur Ajouter.
  6. Cliquez sur Parcourir et sélectionnez l'emplacement de la chaîne de certificats.
    Vous pouvez utiliser un fichier de type CER, PEM ou CRT.
  7. Cliquez sur Ajouter.
    Le certificat est ajouté au magasin.

Ajouter des certificats personnalisés avec vSphere Client

Vous pouvez utiliser vSphere Client pour ajouter des certificats SSL de machine personnalisés au magasin de certificats.

Il suffit généralement de remplacer le certificat SSL de la machine pour chaque composant.

Conditions préalables

Générez des demandes de signature de certificat (CSR, Certificate Signing Request) pour chaque certificat que vous souhaitez remplacer. Reportez-vous à la section Générer une demande de signature de certificat pour un certificat SSL de machine à l'aide de vSphere Client (certificats personnalisés). Placez le certificat et la clé privée dans un emplacement accessible par vCenter Server.

Procédure

  1. Connectez-vous avec vSphere Client à l'instance de vCenter Server.
  2. Spécifiez le nom d'utilisateur et le mot de passe pour administrator@vsphere.local ou un autre membre du groupe d'administrateurs de vCenter Single Sign-On.
    Si vous avez spécifié un autre domaine lors de l'installation, connectez-vous en tant qu'administrator@ mydomain.
  3. Accédez à l'interface utilisateur de gestion de certificat.
    1. Dans le menu Accueil, sélectionnez Administration.
    2. Sous Certificats, cliquez sur Gestion des certificats.
  4. Si le système vous y invite, entrez les informations d'identification de votre instance de vCenter Server.
  5. Dans la vignette Certificat SSL de machine, cliquez sur Actions > Importer et remplacer le certificat.
  6. Cliquez sur l'option de remplacement de certificat appropriée, puis sur Suivant.
    Option Description
    Remplacer par VMCA Crée une CSR générée par VMCA pour remplacer le certificat actuel.
    Remplacer par un certificat généré à partir de l'instance de vCenter Server Utilisez un certificat signé à l'aide d'une CSR générée par l'instance de vCenter Server pour remplacer le certificat actuel.
    Remplacer le certificat d'autorité de certification externe (requiert une clé privée) Utilisez un certificat signé par une autorité de certification externe pour remplacer le certificat actuel.
  7. Entrez les informations de la demande CSR ou téléchargez les certificats appropriés.
  8. Cliquez sur Remplacer.
    Les services vCenter Server redémarrent automatiquement.