Selon la stratégie de sécurité de votre entreprise, vous devrez peut-être remplacer le certificat SSL défini par défaut pour ESXi par un certificat signé par une autorité de certification tierce sur chaque hôte.

Par défaut, les composants vSphere utilisent le certificat signé par VMCA et la clé créés lors de l'installation. Si vous supprimez accidentellement le certificat signé par VMCA, supprimez l'hôte de son système vCenter Server, puis ajoutez-le de nouveau. Lorsque vous ajoutez l'hôte, vCenter Server demande un nouveau certificat à VMCA et provisionne l'hôte à l'aide de celui-ci.

Si la stratégie de votre entreprise l'impose, remplacez les certificats signés par VMCA par des certificats provenant d'une autorité de certification approuvée (une autorité de certification commerciale ou l'autorité de certification d'une organisation).

Vous pouvez remplacer les certificats par défaut par des certificats approuvés de plusieurs manières.

Note : Vous pouvez également utiliser les objets gérés vim.CertificateManager et vim.host.CertificateManager dans vSphere Web Services SDK. Reportez-vous à la documentation vSphere Web Services SDK.

Après avoir remplacé le certificat, vous devez mettre à jour le magasin TRUSTED_ROOTS dans VECS sur le système vCenter Server qui gère l'hôte, afin de garantir une relation de confiance entre vCenter Server et l'hôte ESXi.

Pour obtenir des instructions détaillées sur l'utilisation des certificats signés par une autorité de certification pour les hôtes ESXi, consultez la section Workflows de changement de mode de certificat ESXi.

Note : Si vous remplacez les certificats SSL sur un hôte ESXi faisant partie d'un cluster vSAN, suivez les étapes figurant dans l'article de la base de connaissances VMware https://kb.vmware.com/s/article/56441.

Configuration requise pour les demandes de signature de certificat ESXi

Si vous souhaitez utiliser un certificat d'entreprise ou signé par une autorité de certification tierce, ou un certificat signé par une autorité de certification subordonnée, vous devez envoyer une demande de signature de certificat (CRS) à l'autorité de certification.

Utilisez une demande de signature de certificat présentant les caractéristiques suivantes :

  • Taille de clé : de 2 048 bits (minimum) à 16 384 bits (maximum) (codée au format PEM)
  • Format PEM. VMware prend en charge PKCS8 et PKCS1 (clés RSA). Lorsque des clés sont ajoutées à VECS, elles sont converties en PKCS8.
  • x509 version 3
  • Pour les certificats racines, l'extension d'autorité de certification doit être définie sur vrai et la signature de certification doit figurer dans la liste de conditions requises.
  • SubjectAltName doit contenir DNS Name=<machine_FQDN>.
  • Format CRT
  • Contient les utilisations de clé suivantes : signature numérique, chiffrement de clé
  • Heure de début antérieure d'un jour à l'heure actuelle.
  • CN (et SubjectAltName) défini sur le nom de l'hôte (ou l'adresse IP) de l'hôte ESXi dans l'inventaire vCenter Server.
Note : Le certificat FIPS de vSphere valide uniquement les tailles de clé RSA de 2 048 et 3 072. Reportez-vous à la section Considérations lors de l'utilisation de FIPS.
vSphere ne prend pas en charge les certificats suivants.
  • Certificats comportant des caractères génériques.
  • Les algorithmes md2WithRSAEncryption, md5WithRSAEncryption, RSASSA-PSS, dsaWithSHA1, ecdsa_with_SHA1 et sha1WithRSAEncryption ne sont pas pris en charge.

Pour d'informations sur la génération de la demande de signature de certificat, consultez l'article de la base de connaissances VMware https://kb.vmware.com/s/article/2113926.

Remplacer le certificat et la clé par défaut dans ESXi Shell

Vous pouvez remplacer les certificats ESXi signés par VMCA par défaut dans ESXi Shell.

Conditions préalables

  • Si vous souhaitez utiliser des certificats signés par une autorité de certification tierce, générez la demande de certificat, envoyez-la à l'autorité de certification et stockez les certificats sur chaque hôte ESXi.
  • Si nécessaire, activez ESXi Shell ou activez le trafic SSH dans vSphere Client.
  • Tous les transferts de fichiers et autres communications se produisent lors d'une session HTTPS sécurisée. L'utilisateur servant à authentifier la session doit disposer du privilège Hôte.Config.AdvancedConfig sur l'hôte.

Procédure

  1. Connectez-vous à ESXi Shell, directement à partir de l'interface utilisateur de la console directe (DCUI) ou à partir d'un client SSH, en tant qu'utilisateur disposant de privilèges d'administrateur.
  2. Dans l'inventaire /etc/vmware/ssl, renommer les certificats existants à l'aide des commandes suivantes : 
    mv rui.crt orig.rui.crt
mv rui.key orig.rui.key
  3. Copiez les certificats à utiliser dans /etc/vmware/ssl.
  4. Renommer le nouveau certificat et la clé dans rui.crt et rui.key.
  5. Redémarrez l'hôte après avoir installé le nouveau certificat.
    Vous pouvez également mettre l'hôte en mode de maintenance, installer le nouveau certificat, utiliser l'interface utilisateur de console directe (DCUI) pour redémarrer les agents de gestion, puis configurer l'hôte pour quitter le mode de maintenance.

Que faire ensuite

Mettez à jour le magasin vCenter Server TRUSTED_ROOTS. Reportez-vous à la section Mettre à jour le magasin TRUSTED_ROOTS de vCenter Server (Certificats personnalisés).

Remplacer un certificat par défaut à l'aide de HTTPS PUT

Vous pouvez utiliser des applications tierces pour télécharger des certificats et une clé. Les applications prenant en charge les opérations HTTPS PUT utilisent l'interface HTTPS incluse avec ESXi.

Conditions préalables

  • Si vous souhaitez utiliser des certificats signés par une autorité de certification tierce, générez la demande de certificat, envoyez-la à l'autorité de certification et stockez les certificats sur chaque hôte ESXi.
  • Si nécessaire, activez ESXi Shell ou activez le trafic SSH dans vSphere Client.
  • Tous les transferts de fichiers et autres communications se produisent lors d'une session HTTPS sécurisée. L'utilisateur servant à authentifier la session doit disposer du privilège Hôte.Config.AdvancedConfig sur l'hôte.

Procédure

  1. Sauvegardez les certificats existants.
  2. Configurez l'authentification d'accès de base dans laquelle vous fournissez un nom d'utilisateur et un mot de passe codés en Base64, séparés par un deux-points (:). Pour plus d'informations, consultez https://en.wikipedia.org/wiki/Basic_access_authentication.
  3. Dans votre application de téléchargement, traitez chaque fichier de la manière suivante :
    1. Ouvrez le fichier.
    2. Publiez le fichier à l'un de ces emplacements.
      Option Description
      Certificats https://hostname/host/ssl_cert
      Clés https://hostname/host/ssl_key
    Les emplacements /host/ssl_cert et host/ssl_key pointent vers les fichiers de certificats dans /etc/vmware/ssl.
  4. Redémarrez l'hôte.
    Vous pouvez également mettre l'hôte en mode de maintenance, installer le nouveau certificat, utiliser l'interface utilisateur de console directe (DCUI) pour redémarrer les agents de gestion, puis configurer l'hôte pour quitter le mode de maintenance.

Que faire ensuite

Mettez à jour le magasin vCenter Server TRUSTED_ROOTS. Reportez-vous à la section Mettre à jour le magasin TRUSTED_ROOTS de vCenter Server (Certificats personnalisés).

Mettre à jour le magasin TRUSTED_ROOTS de vCenter Server (Certificats personnalisés)

Si vous configurez vos hôtes ESXi pour qu'ils utilisent des certificats personnalisés, vous devez mettre à niveau le magasin TRUSTED_ROOTS du système vCenter Server qui gère les hôtes.

Conditions préalables

Remplacez les certificats de chacun des hôtes par des certificats personnalisés.

Note : Cette étape n'est pas requise si le système vCenter Server s'exécute également avec des certificats personnalisés émis par la même autorité de certification que celle de ceux installés sur les hôtes ESXi.

Procédure

  1. Pour mettre à jour le magasin de vCenter Server TRUSTED_ROOTS à l'aide de vSphere Client, reportez-vous à la section Ajouter un certificat racine approuvé au magasin de certificats à l'aide de vSphere Client.
  2. Pour mettre à jour le magasin de vCenter Server TRUSTED_ROOTS à l'aide de l'interface de ligne de commande, connectez-vous à l'interpréteur de commande vCenter Server du système vCenter Server qui gère les hôtes ESXi.
  3. Pour ajouter les nouveaux certificats au magasin TRUSTED_ROOTS, exécutez dir-cli, par exemple : 
    /usr/lib/vmware-vmafd/bin/dir-cli trustedcert publish --cert path_to_RootCA
  4. Lorsque vous y êtes invité, fournissez les informations d'identification d'administrateur Single Sign-On.
  5. Si vos certificats personnalisés sont émis par une autorité de certification intermédiaire, vous devez également ajouter l'autorité de certification intermédiaire au magasin TRUSTED_ROOTS sur vCenter Server, par exemple : 
    /usr/lib/vmware-vmafd/bin/dir-cli trustedcert publish --cert path_to_intermediateCA

Que faire ensuite

Définissez le mode de certificat sur Personnalisé. Si le mode de certificat est VMCA (par défaut) et que vous effectuez une actualisation des certificats, vos certificats personnalisés sont remplacés par des certificats signés par l'autorité de certification VMware (VMCA). Reportez-vous à la section Changer le mode de certificat d'ESXi.