Par défaut, le serveur Auto Deploy provisionne chaque hôte avec des certificats signés par VMware Certificate Authority (VMCA). Vous pouvez configurer le serveur Auto Deploy de manière à provisionner tous les hôtes à l'aide de certificats personnalisés non signés par VMCA. Dans ce scénario, le serveur Auto Deploy devient une autorité de certification subordonnée de votre autorité de certification tierce.

Conditions préalables

  • Demandez un certificat à votre autorité de certification. Le certificat doit répondre aux conditions suivantes.
    • Taille de clé : de 2 048 bits (minimum) à 8 192 bits (maximum) (codée au format PEM)
    • Format PEM. VMware prend en charge PKCS8 et PKCS1 (clés RSA). Lorsque des clés sont ajoutées à VECS, elles sont converties en PKCS8.
    • x509 version 3
    • Pour les certificats racines, l'extension d'autorité de certification doit être définie sur vrai et la signature de certification doit figurer dans la liste de conditions requises.
    • SubjectAltName doit contenir DNS Name=<machine_FQDN>.
    • Format CRT
    • Contient les utilisations de clé suivantes : signature numérique, chiffrement de clé
    • Heure de début antérieure d'un jour à l'heure actuelle.
    • CN (et SubjectAltName) défini sur le nom de l'hôte (ou l'adresse IP) de l'hôte ESXi dans l'inventaire vCenter Server.
    Note : Le certificat FIPS de vSphere valide uniquement les tailles de clé RSA de 2 048 et 3 072. Reportez-vous à la section Considérations lors de l'utilisation de FIPS.
  • Nommez le certificat et les fichiers de clés rbd-ca.crt et rbd-ca.key.

Procédure

  1. Sauvegardez les certificats ESXi par défaut.
    Les certificats se trouvent dans le répertoire /etc/vmware-rbd/ssl/.
  2. Arrêtez le service vSphere Authentication Proxy.
    Outil Étapes
    Interface de gestion de vCenter Server
    1. Dans un navigateur Web, accédez à l'interface de gestion de vCenter Server, https://appliance-IP-address-or-FQDN:5480.
    2. Connectez-vous en tant qu'utilisateur racine.

      Le mot de passe racine par défaut est le mot de passe que vous définissez lors du déploiement de vCenter Server.

    3. Cliquez sur Services, puis sur VMware vSphere Authentication Proxy.
    4. Cliquez sur Arrêter.
    CLI
    service-control --stop vmcam
    
  3. Sur le système qui exécute le service Auto Deploy, dans /etc/vmware-rbd/ssl/, remplacez rbd-ca.crt et rbd-ca.key par votre certificat personnalisé et vos fichiers de clés.
  4. Sur le système sur lequel s'exécute le service Auto Deploy, exécutez les commandes suivantes pour mettre à jour le magasin TRUSTED_ROOTS dans VMware Endpoint Certificate Store (VECS) afin d'utiliser vos nouveaux certificats.
    /usr/lib/vmware-vmafd/bin/dir-cli trustedcert publish --cert /etc/vmware-rbd/ssl/rbd-ca.crt
    /usr/lib/vmware-vmafd/bin/vecs-cli force-refresh
  5. Créez un fichier castore.pem contenant ce qui se trouve dans le magasin TRUSTED_ROOTS et placez le fichier dans le répertoire /etc/vmware-rbd/ssl/.
    En mode personnalisé, vous êtes responsable de la gestion de ce fichier.
  6. Définissez le mode de certificat ESXi du système vCenter Server sur Personnalisé.
    Reportez-vous à la section Changer le mode de certificat d'ESXi.
  7. Redémarrez le service vCenter Server et démarrez le service Auto Deploy.

Résultats

La prochaine fois que vous provisionnez un hôte configuré pour utiliser Auto Deploy, le serveur Auto Deploy génère un certificat. Le serveur Auto Deploy utilise le certificat racine que vous venez d'ajouter au magasin TRUSTED_ROOTS.

Note : Si vous rencontrez des problèmes avec Auto Deploy après le remplacement des certificats, reportez-vous à l'article de la base de connaissances VMware à l'adresse https://kb.vmware.com/s/article/2000988.