Selon la stratégie de sécurité de votre entreprise, vous devrez peut-être remplacer le certificat SSL défini par défaut pour ESXi par un certificat signé par une autorité de certification (CA) tierce sur tous vos hôtes.

Par défaut, les composants vSphere utilisent le certificat signé par VMCA et la clé créés lors de l'installation. Si vous supprimez accidentellement le certificat signé par VMCA, supprimez l'hôte de son système vCenter Server, puis ajoutez-le de nouveau. Lorsque vous ajoutez l'hôte, vCenter Server demande un nouveau certificat à VMCA et provisionne l'hôte à l'aide de celui-ci.

Si la stratégie de votre entreprise l'impose, vous pouvez remplacer les certificats signés par VMCA par des certificats provenant d'une autorité de certification approuvée (une autorité de certification commerciale ou l'autorité de certification d'une organisation).

Vous pouvez remplacer les certificats par défaut par des certificats personnalisés à l'aide de vSphere Client ou de l'interface de ligne de commande.

Note : Vous pouvez également utiliser les objets gérés vim.CertificateManager et vim.host.CertificateManager dans vSphere Web Services SDK. Reportez-vous à la documentation vSphere Web Services SDK.

Avant de remplacer le certificat, vous devez mettre à jour le magasin TRUSTED_ROOTS dans VECS sur le système vCenter Server qui gère l'hôte, afin de garantir une relation de confiance entre vCenter Server et l'hôte ESXi.

Note : Si vous remplacez les certificats SSL sur un hôte ESXi faisant partie d'un cluster vSAN, suivez les étapes figurant dans l'article de la base de connaissances VMware https://kb.vmware.com/s/article/56441.

Conditions requises pour les demandes de signature de certificat ESXi pour les certificats personnalisés

Utilisez une demande de signature de certificat présentant les caractéristiques suivantes :

  • Taille de clé : de 2 048 bits (minimum) à 8 192 bits (maximum) (codée au format PEM)
  • Format PEM. VMware prend en charge PKCS8 et PKCS1 (clés RSA). Lorsque des clés sont ajoutées à VECS, elles sont converties en PKCS8.
  • x509 version 3
  • Pour les certificats racines, l'extension d'autorité de certification doit être définie sur vrai et la signature de certification doit figurer dans la liste de conditions requises.
  • SubjectAltName doit contenir DNS Name=<machine_FQDN>.
  • Format CRT
  • Contient les utilisations de clé suivantes : signature numérique, chiffrement de clé
  • Heure de début antérieure d'un jour à l'heure actuelle.
  • CN (et SubjectAltName) défini sur le nom de l'hôte (ou l'adresse IP) de l'hôte ESXi dans l'inventaire vCenter Server.
Note : Le certificat FIPS de vSphere valide uniquement les tailles de clé RSA de 2 048 et 3 072. Reportez-vous à la section Considérations lors de l'utilisation de FIPS.
vSphere ne prend pas en charge les certificats suivants.
  • Certificats comportant des caractères génériques.
  • Les algorithmes md2WithRSAEncryption, md5WithRSAEncryption, RSASSA-PSS, dsaWithSHA1, ecdsa_with_SHA1 et sha1WithRSAEncryption ne sont pas pris en charge.

Pour générer la demande de signature de certificat à l'aide de vSphere Client, reportez-vous à la section Générer une demande de signature de certificat pour un certificat personnalisé à l'aide de vSphere Client.

Pour d'informations sur la génération de la demande de signature de certificat à l'aide de l'interface de ligne de commande, consultez l'article de la base de connaissances VMware https://kb.vmware.com/s/article/2113926.