Vous pouvez remplacer les certificats ESXi signés par VMCA par défaut par des certificats personnalisés dans vSphere Client.
Lors de l'importation du certificat personnalisé, assurez-vous d'effectuer les actions suivantes :
- Ajoutez l'intégralité de votre chaîne de certificats d'autorité de certification avant de procéder au remplacement.
- Assurez-vous de fournir le certificat d'autorité de certification approprié pour votre environnement. Le processus d'importation et de remplacement n'effectue pas de vérification sur le certificat que vous utilisez.
- Assurez-vous qu'il n'y a aucun hachage SHA1 dans la chaîne de certificats. SHA1 n'est pas pris en charge.
- Ajoutez l'autorité de certification racine à VECS avant de continuer. Dans le cas contraire, l'hôte se déconnecte immédiatement après le remplacement du certificat.
Conditions préalables
- Générez la demande de signature de certificat et envoyez-la à l'autorité de certification. Reportez-vous à la section Générer une demande de signature de certificat pour un certificat personnalisé à l'aide de vSphere Client.
- Lorsque l'autorité de certification renvoie le certificat, stockez-le sur les hôtes ESXi.
- Assurez-vous que le mode de certificat ESXi est défini sur personnalisé. Reportez-vous à la section Changer le mode de certificat d'ESXi.
- Mettez à jour le magasin de certificats racine approuvés. Reportez-vous à la section Mettre à jour le magasin TRUSTED_ROOTS de vCenter Server (Certificats personnalisés).
Procédure
- Accédez à l'hôte dans l'inventaire de vSphere Client.
- Cliquez sur Configurer.
- Sous Système, cliquez sur Certificat.
- Dans la liste déroulante Gérer avec l'autorité de certification externe, sélectionnez Importer et remplacer.
- Sélectionnez l'option Remplacer.
Option Description Remplacer par un certificat d'autorité de certification externe pour lequel la demande CSR est générée par ESXi (clé privée intégrée) Utilisez cette option si vous avez généré la demande de signature de certificat sur ESXi, auquel cas la clé privée est stockée sur ESXi. Remplacer par un certificat d'autorité de certification externe dans lequel la demande de signature de certificat est générée à partir d'une autorité de certification (nécessite une clé privée) Utilisez cette option si vous avez envoyé la demande de signature de certificat à une autorité de certification tierce et que vous avez reçu le certificat et la clé privée. - Cliquez sur Suivant.
- Recherchez le certificat, ou le certificat et la clé privée.
- Vérifiez les informations, puis cliquez sur Importer et remplacer.
Résultats
Le certificat personnalisé remplace le certificat existant.
