Par défaut, le serveur Auto Deploy provisionne chaque hôte avec des certificats signés par VMware Certificate Authority (VMCA). Vous pouvez configurer le serveur Auto Deploy de manière à provisionner tous les hôtes à l'aide de certificats personnalisés non signés par VMCA. Dans ce scénario, le serveur Auto Deploy devient une autorité de certification subordonnée de votre autorité de certification tierce.
Conditions préalables
- Demandez un certificat à votre autorité de certification. Le certificat doit répondre aux conditions suivantes.
- Taille de clé : de 2 048 bits (minimum) à 8 192 bits (maximum) (codée au format PEM)
- Format PEM. VMware prend en charge PKCS8 et PKCS1 (clés RSA). Lorsque des clés sont ajoutées à VECS, elles sont converties en PKCS8.
- x509 version 3
- Pour les certificats racines, l'extension d'autorité de certification doit être définie sur vrai et la signature de certification doit figurer dans la liste de conditions requises.
- SubjectAltName doit contenir DNS Name=<machine_FQDN>.
- Format CRT
- Contient les utilisations de clé suivantes : signature numérique, chiffrement de clé
- Heure de début antérieure d'un jour à l'heure actuelle.
- CN (et SubjectAltName) défini sur le nom de l'hôte (ou l'adresse IP) de l'hôte ESXi dans l'inventaire vCenter Server.
Note : Le certificat FIPS de vSphere valide uniquement les tailles de clé RSA de 2 048 et 3 072. Reportez-vous à la section Considérations lors de l'utilisation de FIPS. - Nommez le certificat et les fichiers de clés rbd-ca.crt et rbd-ca.key.
Procédure
Résultats
La prochaine fois que vous provisionnez un hôte configuré pour utiliser Auto Deploy, le serveur Auto Deploy génère un certificat. Le serveur Auto Deploy utilise le certificat racine que vous venez d'ajouter au magasin TRUSTED_ROOTS.
Note : Si vous rencontrez des problèmes avec Auto Deploy après le remplacement des certificats, reportez-vous à l'article de la base de connaissances VMware à l'adresse
https://kb.vmware.com/s/article/2000988.