Vous pouvez utiliser vSphere Client pour remplacer les certificats par défaut par des certificats personnalisés.

Vous pouvez utiliser vSphere Client pour générer des demandes de signature de certificat pour chaque machine et remplacer les certificats lorsque vous les recevez de votre autorité de certification interne ou tierce. Lorsque vous soumettez les demandes de signature de certificat à votre autorité de certification interne ou tierce, l'autorité de certification renvoie les certificats signés et le certificat racine. Vous pouvez télécharger le certificat racine et les certificats signés à partir de vSphere Client.

Générer une demande de signature de certificat pour un certificat SSL de machine à l'aide de vSphere Client (certificats personnalisés)

Le certificat SSL de machine est utilisé par le service de proxy inverse sur chaque nœud vCenter Server. Chaque machine doit avoir un certificat SSL de machine pour la communication sécurisée avec d'autres services. Vous pouvez utiliser vSphere Client pour générer une demande de signature de certificat (CSR) pour le certificat SSL de machine et pour remplacer le certificat une fois qu'il est prêt.

Conditions préalables

Le certificat doit répondre à la configuration requise suivante :

  • Taille de clé : de 2 048 bits (minimum) à 8 192 bits (maximum) (codée au format PEM). vSphere Client et l'API acceptent toujours une taille de clé allant jusqu'à 16 384 bits lors de la génération de la demande de signature de certificat.
  • Format CRT
  • x509 version 3
  • SubjectAltName doit contenir DNS Name=<machine_FQDN>.
  • Contient les utilisations de clé suivantes : signature numérique, chiffrement de clé
Note : Le certificat FIPS de vSphere valide uniquement les tailles de clé RSA de 2 048 bits et 3 072 bits.

Procédure

  1. Connectez-vous avec vSphere Client à l'instance de vCenter Server.
  2. Spécifiez le nom d'utilisateur et le mot de passe pour [email protected] ou un autre membre du groupe d'administrateurs de vCenter Single Sign-On.
    Si vous avez spécifié un autre domaine lors de l'installation, connectez-vous en tant qu'administrator@ mydomain.
  3. Accédez à l'interface utilisateur de gestion de certificat.
    1. Dans le menu Accueil, sélectionnez Administration.
    2. Sous Certificats, cliquez sur Gestion des certificats.
  4. Entrez les informations d'identification de votre vCenter Server.
  5. Générer la demande de signature de certificat.
    1. Sous l'onglet SSL de machine, sélectionnez le certificat souhaité et cliquez sur Générer une demande de signature de certificat (CSR).
    2. Entrez vos informations de certificat et cliquez sur Suivant.
      2048 (bits) est la valeur par défaut pour la taille de clé. Modifiez cette valeur si nécessaire.
      Note : Lorsque vous utilisez vCenter Server pour générer une demande de signature de certificat avec une taille de clé importante, la génération prend quelques minutes, car cette opération est gourmande en CPU.
    3. Copiez ou téléchargez la demande de signature de certificat.
    4. Cliquez sur Terminer.
    5. Fournissez la demande de signature de certificat à votre autorité de certification.

Que faire ensuite

Lorsque l'autorité de certification renvoie le certificat, remplacez le certificat existant dans le magasin de certificats. Reportez-vous à la section Ajouter des certificats personnalisés avec vSphere Client.

Ajouter un certificat racine approuvé au magasin de certificats avec vSphere Client

Si vous souhaitez utiliser des certificats tiers dans votre environnement, vous devez ajouter un certificat racine approuvé au magasin de certificats. Pour cela, vous pouvez utiliser vSphere Client.

Conditions préalables

Obtenez le certificat racine personnalisé de votre autorité de certification (CA) tierce ou interne.

vSphere n'accepte que les certificats d'autorité de certification valides pour l'importation. Pour être valide, un certificat d'autorité de certification doit avoir le bit CA et le bit keyCertSign définis dans la contrainte de base et les extensions de certificat X.509 v3 d'utilisation de clé, respectivement. Cela signifie que le certificat est une autorité de certification et que son objectif est la signature de certificat. Pour plus d'informations, consultez le site Web https://www.rfc-editor.org/rfc/rfc5280.

Assurez-vous que le bit keyCertSign est défini pour tous les certificats de la chaîne.

Procédure

  1. Connectez-vous avec vSphere Client à l'instance de vCenter Server.
  2. Spécifiez le nom d'utilisateur et le mot de passe pour [email protected] ou un autre membre du groupe d'administrateurs de vCenter Single Sign-On.
    Si vous avez spécifié un autre domaine lors de l'installation, connectez-vous en tant qu'administrator@ mydomain.
  3. Accédez à l'interface utilisateur de gestion de certificat.
    1. Dans le menu Accueil, sélectionnez Administration.
    2. Sous Certificats, cliquez sur Gestion des certificats.
  4. Si le système vous y invite, entrez les informations d'identification de votre instance de vCenter Server.
  5. Sous l'onglet Certificats racine approuvés, cliquez sur Ajouter un certificat racine approuvé.
  6. Cliquez sur Parcourir et sélectionnez l'emplacement de la chaîne de certificats.
    Vous pouvez utiliser un fichier de type CER, PEM ou CRT.
  7. Cliquez sur Ajouter.
    Le certificat est ajouté au magasin.
    Note : Dans vSphere 8.0 Update 2 et versions ultérieures, la case à cocher Démarrer le transfert du certificat racine vers les hôtes vCenter est supprimée. vCenter Server transfère les certificats racines vers tous les hôtes connectés dans l'inventaire lorsqu'un certificat est ajouté. Lorsqu'un hôte avec des certificats racines différents de vCenter Server est connecté, vCenter Server transfère les certificats racines pour corriger cette différence. Dans ce cas, les certificats racines de vCenter Server remplacent ceux de l'hôte, afin que les administrateurs puissent s'assurer que tous les certificats racines personnalisés requis dans l'inventaire sont ajoutés à vCenter Server.

Ajouter des certificats personnalisés avec vSphere Client

Vous pouvez utiliser vSphere Client pour ajouter des certificats SSL de machine personnalisés au magasin de certificats.

Il suffit généralement de remplacer le certificat SSL de la machine pour chaque composant.

Conditions préalables

Générez des demandes de signature de certificat (CSR, Certificate Signing Request) pour chaque certificat que vous souhaitez remplacer. Reportez-vous à la section Générer une demande de signature de certificat pour un certificat SSL de machine à l'aide de vSphere Client (certificats personnalisés). Placez le certificat et la clé privée dans un emplacement accessible par vCenter Server.

Procédure

  1. Connectez-vous avec vSphere Client à l'instance de vCenter Server.
  2. Spécifiez le nom d'utilisateur et le mot de passe pour [email protected] ou un autre membre du groupe d'administrateurs de vCenter Single Sign-On.
    Si vous avez spécifié un autre domaine lors de l'installation, connectez-vous en tant qu'administrator@ mydomain.
  3. Accédez à l'interface utilisateur de gestion de certificat.
    1. Dans le menu Accueil, sélectionnez Administration.
    2. Sous Certificats, cliquez sur Gestion des certificats.
  4. Si le système vous y invite, entrez les informations d'identification de votre instance de vCenter Server.
  5. Sous l'onglet SSL de machine, sélectionnez le certificat, puis cliquez sur Importer et remplacer un certificat.
  6. Cliquez sur l'option de remplacement de certificat appropriée, puis sur Suivant.
    Option Description
    Remplacer par un certificat VMCA Crée une CSR générée par VMCA pour remplacer le certificat actuel.
    Remplacer par un certificat d'autorité de certification externe pour lequel la demande CSR est générée depuis vCenter Server (clé privée intégrée) Utilisez un certificat signé à l'aide d'une CSR générée par l'instance de vCenter Server pour remplacer le certificat actuel.
    Remplacer le certificat d'autorité de certification externe (requiert une clé privée) Utilisez un certificat signé par une autorité de certification externe pour remplacer le certificat actuel.
  7. Entrez les informations de la demande CSR ou téléchargez les certificats appropriés.
  8. Cochez la case pour confirmer que vous avez sauvegardé vCenter Server et ses bases de données.
  9. Passez vos informations en revue et cliquez sur Terminer.
    Le système remplace le certificat et affiche un message de réussite.
  10. Lorsque le certificat a été modifié et qu'un message s'affiche, cliquez sur Actualiser pour actualiser votre navigateur.

Générer un certificat feuille VMCA

Vous pouvez générer un certificat feuille signé par VMware Certificate Authority (VMCA) à utiliser dans votre infrastructure VMware.

En plus d'assurer la gestion de tous les certificats, VMware Certificate Authority (VMCA) peut générer des certificats feuilles. Les certificats feuilles sont signés par VMCA et sont utilisés pour identifier d'autres ressources VMware. Les certificats feuilles générés par VMCA ne sont pas stockés dans VECS. En outre, vCenter Server ne suit pas ces certificats feuilles pour leur expiration.

Conditions préalables

Générez une demande de signature de certificat (CSR) sur l'hôte de votre infrastructure VMware sur laquelle vous souhaitez installer le certificat feuille.

Procédure

  1. Connectez-vous avec vSphere Client à l'instance de vCenter Server.
  2. Spécifiez le nom d'utilisateur et le mot de passe pour [email protected] ou un autre membre du groupe d'administrateurs de vCenter Single Sign-On.
    Si vous avez spécifié un autre domaine lors de l'installation, connectez-vous en tant qu'administrator@ mydomain.
  3. Accédez à l'interface utilisateur de gestion de certificat.
    1. Dans le menu Accueil, sélectionnez Administration.
    2. Sous Certificats, cliquez sur Gestion des certificats.
  4. Si le système vous y invite, entrez les informations d'identification de votre instance de vCenter Server.
  5. Sous l'onglet Certificats racine approuvés, sélectionnez le certificat racine VMCA et cliquez sur Émettre un nouveau certificat feuille.
  6. Recherchez la demande de signature de certificat que vous avez précédemment générée, spécifiez une durée, puis cliquez sur Suivant.
  7. Cliquez sur Télécharger les certificats pour enregistrer les certificats feuille et racine.

Résultats

Les certificats feuille et racine générés sont créés et téléchargés à l'emplacement spécifié.

Que faire ensuite

Importez les certificats feuille et racine vers l'hôte cible dans votre infrastructure VMware.