VMware Certificate Authority (VMCA) fournit à chaque nouvel hôte ESXi un certificat signé dont VMCA est l'autorité de certification racine par défaut. Le provisionnement s'effectue lorsque vous ajoutez l'hôte à vCenter Server explicitement ou dans le cadre d'une installation ou d'une mise à niveau d'ESXi.
Vous pouvez afficher et gérer les certificats ESXi depuis vSphere Client et en utilisant l'API vim.CertificateManager dans vSphere Web Services SDK. Vous ne pouvez pas afficher ou gérer des certificats ESXi à l'aide des interfaces de ligne de commande de gestion de certificats disponibles pour la gestion des certificats vCenter Server.
À partir de vSphere 8.0 Update 3, vous pouvez remplacer les certificats ESXi sans placer l'hôte en mode de maintenance et sans avoir à redémarrer l'hôte ou les services individuels.
Certificats et modes de certificat
Lorsque ESXi et vCenter Server communiquent, ils utilisent TLS pour presque tout le trafic de gestion.
vCenter Server prend en charge les certificats et modes de certificat suivants pour les hôtes ESXi.
Mode de certificat | Description |
---|---|
VMware Certificate Authority (par défaut) | Par défaut, VMware Certificate Authority est utilisé comme autorité de certification (CA) pour les certificats des hôtes ESXi. VMCA est l'autorité de certification racine par défaut, mais elle peut être définie comme autorité de certification intermédiaire vers une autre autorité de certification. Dans le mode vmca, vous pouvez renouveler et actualiser les certificats dans vSphere Client. Ce mode est également utilisé si VMCA est un certificat subordonné. |
Autorité de certification personnalisée | Utilisez ce mode si vous souhaitez uniquement utiliser des certificats personnalisés qui sont signés par une autorité de certification tierce ou de l'entreprise. Dans le mode personnalisé, vous êtes responsable de la gestion des certificats. À partir de vSphere 8.0 Update 3, vous pouvez gérer les certificats personnalisés à partir de vSphere Client.
Note : Sauf si vous définissez le mode de certificat sur Autorité de certification personnalisée (
personnalisé), VMCA peut remplacer des certificats personnalisés, notamment lorsque vous sélectionnez
Renouveler dans
vSphere Client.
|
Mode d'empreinte | vSphere 5.5 utilisait le mode empreinte numérique. Ce mode reste disponible en tant qu'option de secours pour vSphere 6.x. Dans ce mode, le système vCenter Server s'assure que le certificat est formaté correctement, mais ne vérifie pas sa validité. Même les certificats expirés sont acceptés. N'utilisez ce mode que si vous rencontrez des problèmes que vous ne pouvez pas résoudre avec l'un des deux autres modes. Certains services de vCenter Server 6.x et versions ultérieures risquent de ne pas fonctionner correctement en mode d'empreinte. |
Pour changer le mode de certificat afin d'utiliser un autre type de certificat, reportez-vous aux sections Workflows de changement de mode de certificat ESXi et Changer le mode de certificat d'ESXi.
Expiration du certificat ESXi
Vous pouvez afficher des informations sur l'expiration des certificats qui sont signés par VMCA ou par une autorité de certification tierce dans vSphere Client. Vous pouvez afficher les informations de tous les hôtes que gère vCenter Server ou pour les hôtes individuels. Une alarme jaune se déclenche si le certificat est dans l'état Expiration prochaine (inférieure à huit mois). Une alarme rouge se déclenche si le certificat est dans l'état Expiration imminente (inférieure à deux mois).
Provisionnement et certificats d'ESXi
Lorsque vous démarrez un hôte ESXi à partir d'un support d'installation, l'hôte dispose initialement d'un certificat automatiquement généré. Lorsque vous ajoutez un hôte au système vCenter Server, vCenter Server le provisionne avec un certificat signé par VMCA comme autorité de certification racine.
Vous pouvez également utiliser des certificats personnalisés signés par une autorité de certification tierce ou d'entreprise pour les hôtes ESXi.
Provisionnement et certificats ESXi dans Auto Deploy
Le processus est similaire pour les hôtes qui sont provisionnés avec Auto Deploy. Cependant, comme ces hôtes ne stockent pas d'état, le certificat signé est stocké par le serveur Auto Deploy dans son magasin de certificats local. Le certificat est réutilisé lors des démarrages suivants des hôtes ESXi. Un serveur Auto Deploy fait partie d'un déploiement intégré ou d'un système vCenter Server.
Si VMCA n'est pas disponible lorsqu'un hôte Auto Deploy démarre pour la première fois, l'hôte tente de se connecter en premier lieu. Si cet hôte ne peut pas se connecter, il alterne les arrêts et les redémarrages jusqu'à ce que VMCA devienne disponible et que l'hôte soit provisionné avec un certificat signé.
Vous pouvez faire d'Auto Deploy une autorité de certification subordonnée à une autorité de certification tierce. Dans ce cas, les certificats générés sont signés avec la clé SSL Auto Deploy. Reportez-vous à la section Faire d'Auto Deploy une autorité de certification subordonnée.
Dans ESXi 8.0 et versions ultérieures, vous pouvez utiliser des certificats personnalisés (certificats signés par une autorité de certification) avec Auto Deploy. Lorsque l'hôte démarre, Auto Deploy associe le certificat personnalisé à une adresse MAC ou à l'UUID du BIOS de l'hôte ESXi. Reportez-vous à la section Utiliser des certificats personnalisés avec Auto Deploy.
Privilèges requis pour la gestion des certificats de ESXi
Le privilège ESXi.
est requis pour que les utilisateurs gèrent vos certificats d'hôteModifications de nom d'hôte et d'adresse IP d'ESXi
Une modification de nom d'hôte ou d'adresse IP d'ESXi peut déterminer si vCenter Server considère valide le certificat d'un hôte. Le mode d'ajout de l'hôte ESXi à vCenter Server détermine si une intervention manuelle est nécessaire. Lors d'une intervention manuelle, vous reconnectez l'hôte, ou vous le supprimez de vCenter Server et le rajoutez.
Hôte ESXi ajouté à vCenter Server à l'aide de... | Modifications de nom d'hôte d'ESXi | Modifications d'adresse IP d'ESXi |
---|---|---|
Nom d'hôte | Problème de connectivité de vCenter Server. Intervention manuelle requise. | Aucune intervention requise. |
Adresse IP | Aucune intervention requise. | Problème de connectivité de vCenter Server. Intervention manuelle requise. |