Par défaut, VMware Certificate Authority (VMCA) provisionne ESXi avec des certificats. Utilisez le mode personnalisé lors du remplacement des certificats VMCA par des certificats personnalisés. Utilisez le mode d'empreinte hérité pour le débogage. Si un changement de mode s'impose, évaluez l'impact potentiel avant de commencer.
Pour obtenir une explication des modes de certificat, reportez-vous à la section Certificats et modes de certificat.
Utilisation de certificats ESXi personnalisés
Si la stratégie de votre entreprise impose l'utilisation d'une autorité de certification racine autre que VMCA, vous pouvez changer le mode de certification de votre environnement après avoir procédé à une planification rigoureuse. Le workflow est le suivant.
- Basculez en mode personnalisé. Reportez-vous à la section Changer le mode de certificat d'ESXi.
Le basculement du mode permet à vSphere Client d'activer le menu déroulant Gérer avec l'autorité de certification externe, ce qui vous permet de générer la demande de signature de certificat.
- Ajoutez le certificat racine de l'autorité de certification personnalisée à VMware Endpoint Certificate Store (VECS).
- Générez la demande de signature de certificat et obtenez les certificats que vous souhaitez utiliser.
Vous devrez peut-être attendre un certain temps avant que la demande de signature de certificat soit renvoyée.
- Importez le certificat d'autorité de certification personnalisé dans l'hôte vCenter Server.
Accordez un certain temps au système vCenter Server pour distribuer le certificat d'autorité de certification personnalisé aux hôtes ESXi.
Passage du mode d'autorité de certification personnalisée au mode VMCA
Si vous utilisez le mode d'autorité de certification personnalisée et en venez à la conclusion que VMCA fonctionne mieux dans votre environnement, vous pouvez procéder au changement de mode après une planification rigoureuse. Le workflow est le suivant.
- Retirez tous les hôtes du système vCenter Server.
- Sur le système vCenter Server, supprimez le certificat racine de l'autorité de certification tierce de VECS.
- Basculez en mode vmca. Reportez-vous à la section Changer le mode de certificat d'ESXi.
- Ajoutez les hôtes au système vCenter Server.
Conservation des certificats du mode d'empreinte pendant la mise à niveau
Le passage du mode VMCA au mode d'empreinte peut être nécessaire si vous rencontrez des problèmes avec les certificats VMCA. En mode d'empreinte, le système vCenter Server vérifie uniquement la présence et le format d'un certificat, mais pas sa validitié. Voir Changer le mode de certificat d'ESXi pour plus d'informations.
Passage du mode d'empreinte au mode VMCA
Si vous utilisez le mode d'empreinte et que vous souhaitez commencer à utiliser des certificats signés par VMCA, le changement nécessite de la planification. Le workflow est le suivant.
- Supprimez tous les hôtes ESXi du système vCenter Server.
- Basculez en mode vmca. Reportez-vous à la section Changer le mode de certificat d'ESXi.
- Ajoutez les hôtes ESXi au système vCenter Server.
Passage du mode d'autorité de certification personnalisé au mode d'empreinte
Si vous rencontrez des problèmes avec votre autorité de certification personnalisée, envisagez de passer temporairement au mode d'empreinte. Le changement s'effectue de façon transparente si vous suivez les instructions de la section Changer le mode de certificat d'ESXi. Après le changement de mode, le système vCenter Server vérifie uniquement le format du certificat et ne vérifie plus la validité du certificat proprement dit.
Passage du mode d'empreinte au mode d'autorité de certification personnalisée
Si vous définissez votre environnement sur le mode d'empreinte pendant un dépannage et que vous souhaitez commencer à utiliser le mode d'autorité de certification personnalisée, vous devez d'abord générer les certificats requis. Le workflow est le suivant.
- Supprimez tous les hôtes ESXi du système vCenter Server.
- Ajoutez le certificat racine de l'autorité de certification personnalisée au magasin TRUSTED_ROOTS dans VECS sur le système vCenter Server. Reportez-vous à la section Mettre à jour le magasin TRUSTED_ROOTS de vCenter Server (Certificats personnalisés).
- Pour chaque hôte ESXi :
- Déployez le certificat et la clé de l'autorité de certification personnalisée.
- Redémarrez les services sur l'hôte.
- Basculez en mode personnalisé. Reportez-vous à la section Changer le mode de certificat d'ESXi.
- Ajoutez les hôtes ESXi au système vCenter Server.