Dans vSphere 8.0 et versions ultérieures, vous pouvez configurer le serveur Auto Deploy pour provisionner des hôtes ESXi avec des certificats personnalisés signés par une autorité de certification tierce ou par votre propre autorité de certification interne. Par défaut, le serveur Auto Deploy provisionne les hôtes ESXi avec des certificats signés par VMware Certificate Authority (VMCA).

Dans les versions antérieures à vSphere 8.0, vos options de gestion des certificats avec Auto Deploy incluent :

  • Utilisation de vCenter Server et de VMware Certificate Authority intégré (l'option par défaut).
  • Faire d'Auto Deploy une autorité de certification subordonnée d'une autorité de certification tierce. Dans ce cas, la clé SSL Auto Deploy signe les certificats.

Dans vSphere 8.0 et versions ultérieures, vous pouvez charger des certificats personnalisés signés par une autorité de certification tierce ou par votre propre autorité de certification interne dans Auto Deploy. Auto Deploy associe le certificat personnalisé à l'adresse MAC ou à l'UUID du BIOS de l'hôte ESXi. Chaque fois qu'un hôte Auto Deploy démarre, Auto Deploy recherche un certificat personnalisé. Si Auto Deploy trouve un certificat personnalisé, il utilise ce certificat au lieu d'en générer un via VMCA.

Les étapes de haut niveau de cette tâche sont les suivantes :

  1. Générer la demande de certificat personnalisé pour une autorité de certification tierce ou pour votre propre autorité de certification interne.
  2. Obtenir le certificat personnalisé signé (clé et certificat) et le stocker localement.
  3. Si vous utilisez une autorité de certification tierce, et si cela n'a pas été fait précédemment, assurez-vous que le certificat racine de votre autorité de certification est chargé dans le magasin TRUSTED_ROOTS sur vCenter Server.
  4. Charger le certificat personnalisé vers Auto Deploy et associer le certificat à l'adresse MAC ou à l'UUID du BIOS d'un hôte ESXi.
  5. Démarrer l'hôte ESXi.

Lorsque vous attribuez un certificat personnalisé à un hôte ESXi, Auto Deploy transfère le certificat vers l'hôte lors de son prochain démarrage à partir d'Auto Deploy.

Tenez compte des considérations suivantes lors de l'utilisation de certificats personnalisés et d'Auto Deploy.

  • Vous devez utiliser les cmdlets PowerCLI Add-CustomCertificate, Remove-CustomCertificate et List-CustomCertificate pour gérer les certificats personnalisés utilisés avec Auto Deploy. La capacité de gestion des certificats personnalisés n'est pas disponible dans vSphere Client.
  • Pour actualiser un certificat personnalisé utilisé pour Auto Deploy, vous devez réexécuter la cmdlet Add-CustomCertificate.
  • Veillez à examiner votre certificat personnalisé pour détecter d'éventuelles erreurs. Auto Deploy vérifie uniquement que le certificat personnalisé est conforme aux normes de certificat X.509 et que le seuil d'expiration du certificat est défini sur au moins 240 jours. Auto Deploy n'effectue aucune autre validation ou vérification de certificat. Pour modifier le seuil du certificat, vous pouvez exécuter la cmdlet Set-DeployOption -Key certificate-refresh-threshold.
  • Si vous supprimez ultérieurement un certificat personnalisé d'un hôte ESXi à l'aide de la cmdlet Remove-CustomCertificate, vous devez redémarrer l'hôte pour que la modification prenne effet.

Pour plus d'informations sur les certificats personnalisés et sur Auto Deploy, reportez-vous à la documentation Installation et configuration de VMware ESXi.

Conditions préalables

Assurez-vous que vous disposez des éléments suivants :
  • Demandez un certificat à votre autorité de certification. Le certificat doit répondre aux conditions suivantes.
    • Taille de clé : de 2 048 bits (minimum) à 8 192 bits (maximum) (codée au format PEM)
    • Format PEM. VMware prend en charge PKCS8 et PKCS1 (clés RSA). Lorsque des clés sont ajoutées à VECS, elles sont converties en PKCS8.
    • x509 version 3
    • Format CRT
    • Extension d'autorité de certification définie sur true
    • Utilisation de la clé de signature de certificat
    • Heure de début antérieure d'un jour à l'heure actuelle
    Note : Le certificat FIPS de vSphere valide uniquement les tailles de clé RSA de 2 048 et 3 072. Reportez-vous à la section Considérations lors de l'utilisation de FIPS.
  • Adresse MAC de l'hôte ESXi ou UUID du BIOS. Évaluez quelle approche convient le mieux à votre environnement. L'UUID du BIOS est plus stable et moins sujet à modification que l'adresse MAC. Si vous modifiez les adaptateurs réseau d'un hôte ESXi, l'adresse MAC change. Cependant, l'adresse MAC peut être plus familière à l'utilisation et plus facile à obtenir que l'UUID du BIOS.
  • Au moins PowerCLI version 12.6.0. Pour plus d'informations sur les cmdlets Auto Deploy PowerCLI, reportez-vous à la rubrique Présentation de la cmdlet Auto Deploy PowerCLI dans la documentation de Installation et configuration de VMware ESXi.

Assurez-vous que vous disposez des privilèges suivants :

  • Ajouter un certificat personnalisé : Auto Deploy.Règle.Créer
  • Obtenir des informations sur le certificat personnalisé : Système.Lire

Procédure

  1. Générer la demande de certificats.
    1. À l'aide des exigences répertoriées précédemment pour la demande de certificat, créez un fichier de configuration (.cfg).
    2. Pour générer un fichier CSR et un fichier de clé, exécutez la commande openssl req, en transférant le fichier de configuration (.cfg).
      Par exemple : 
      openssl req -new -config custom_cert.cfg -days 4200 -sha256 -keyout rui.key -out rui.csr

      Dans cette commande :

      • -new génère une nouvelle demande de certificat.
      • -config custom_cert.cfg spécifie votre fichier .cfg personnalisé.
      • -days 4200 spécifie 4 200 jours pour la certification du certificat.
      • -sha256 spécifie la synthèse du message avec lequel signer la demande.
      • -keyout rui.key spécifie le fichier dans lequel écrire la clé privée qui vient d'être créée.
      • -out rui.csr spécifie le fichier de sortie dans lequel écrire.
  2. Envoyez la demande de certificat à votre autorité de certification tierce ou, si vous signez vos propres certificats, exécutez la commande openssl x509 -req pour générer votre propre certificat à partir de votre fichier rui.csr.
    Par exemple : 
    openssl x509 -req -in rui.csr -CA "/etc/vmware-rbd/ssl/rbd-ca.crt" -CAkey \
"/etc/vmware-rbd/ssl/rbd-ca.key" -extfile \
openssl.cfg -extensions x509 -CAserial "/etc/vmware-rbd/ssl/rbd-ca.srl" -days \
4200 -sha256 -out signed_rui.crt

    Dans cette commande :

    • -in rui.csr spécifie le fichier d'entrée.
    • -CA "/etc/vmware-rbd/ssl/rbd-ca.crt" spécifie l'annuaire à utiliser pour la vérification du certificat de serveur.
    • -CAkey "/etc/vmware-rbd/ssl/rbd-ca.key" définit la clé privée de l'autorité de certification avec laquelle signer un certificat.
    • -extfile openssl.cfg spécifie un fichier de configuration facultatif supplémentaire à partir duquel lire les extensions de certificat.
    • -extensions x509 spécifie l'utilisation d'extensions de certificat x509.
    • -CAserial "/etc/vmware-rbd/ssl/rbd-ca.srl" utilise le numéro de série dans rbd-ca.srl pour signer un certificat.
    • -days 4200 spécifie 4 200 jours pour la certification du certificat.
    • -sha256 spécifie la synthèse du message avec lequel signer la demande.
    • -out signed_rui.crt spécifie le fichier de sortie dans lequel écrire.
  3. (Facultatif) Si vous n'avez pas précédemment chargé le certificat de votre autorité de certification de signature dans le magasin TRUSTED_ROOTS à l'intérieur du VMware Endpoint Certificate Store (VECS), effectuez les étapes suivantes sur l'instance de vCenter Server sur laquelle le service Auto Deploy s'exécute.
    1. À l'aide d'un outil tel que WinSCP, copiez le certificat dans vCenter Server.
    2. Connectez-vous à vCenter Server à l'aide du protocole SSH et exécutez la commande suivante. 
      /usr/lib/vmware-vmafd/bin/dir-cli trustedcert publish --cert path_to_ca_certificate
  4. Obtenir l'adresse MAC de l'hôte ESXi ou l'UUID du BIOS.
  5. Effectuez les étapes suivantes pour ajouter le certificat personnalisé à Auto Deploy.
    1. Pour vous connecter à vCenter Server, exécutez la cmdlet Connect-VIServer. 
      Connect-VIServer -server VC_ip_address -User administrator_user -Password 'password'
    2. (Facultatif) Pour afficher les certificats personnalisés existants, exécutez la cmdlet Get-CustomCertificates.
      La première fois que vous ajoutez des certificats personnalisés, vous ne voyez aucun certificat renvoyé par cette cmdlet.
    3. Pour associer le certificat personnalisé à l'hôte ESXi, exécutez la cmdlet Add-CustomCertificate. 
      Add-CustomCertificate -HostID [MAC_Address | BIOS_UUID] -Certificate "path_to_custom_cert" -Key "path_to_custom_cert_key"
      Vous pouvez spécifier l'adresse MAC ou l'UUID du BIOS de l'hôte. Auto Deploy charge le certificat personnalisé sur l'hôte.
    4. Pour vous assurer que le certificat a été chargé, exécutez la cmdlet Get-CustomCertificates.
      La sortie ressemble à ce qui suit : 
      Name:     CustomHostCert-1
CertificateId:      1
HostId:             02:08:b0:8e:18:a2
ExpirationTime: 1   2/28/2033 10:45:50 AM
TimeCreated:        9/29/2022 7:40:28 AM
LastModified:       9/29/2022 7:40:28 AM
AssociatedHostName:
      AssociatedHostName est vide pour le moment. Après le démarrage de l'hôte, la sortie reflète le nom de l'hôte ESXi associé au certificat personnalisé.
  6. Démarrez l'hôte ESXi.
  7. Pour vous assurer que le certificat personnalisé est associé à vCenter Server, exécutez à nouveau la cmdlet Get-CustomCertificates.
    La sortie ressemble à ce qui suit. 
    Name:     CustomHostCert-1
CertificateId:      1
HostId:             02:08:b0:8e:18:a2
ExpirationTime: 1   2/28/2033 10:45:50 AM
TimeCreated:        9/29/2022 7:40:28 AM
LastModified:       9/29/2022 7:40:28 AM
AssociatedHostName: host1.example.com
    À présent, AssociatedHostName contient le nom de l'hôte ESXi.