Si vous configurez vos hôtes ESXi pour qu'ils utilisent des certificats personnalisés, vous devez mettre à niveau le magasin TRUSTED_ROOTS du système vCenter Server qui gère les hôtes.
Conditions préalables
Remplacez les certificats de chacun des hôtes par des certificats personnalisés.
Note : Cette étape n'est pas requise si le système
vCenter Server s'exécute également avec des certificats personnalisés émis par la même autorité de certification que celle de ceux installés sur les hôtes
ESXi.
Procédure
- Pour mettre à jour le magasin de vCenter Server TRUSTED_ROOTS à l'aide de vSphere Client, reportez-vous à la section Ajouter un certificat racine approuvé au magasin de certificats à l'aide de vSphere Client.
- Pour mettre à jour le magasin de vCenter Server TRUSTED_ROOTS à l'aide de l'interface de ligne de commande, connectez-vous à l'interpréteur de commande vCenter Server du système vCenter Server qui gère les hôtes ESXi.
- Pour ajouter les nouveaux certificats au magasin TRUSTED_ROOTS, exécutez dir-cli, par exemple :
/usr/lib/vmware-vmafd/bin/dir-cli trustedcert publish --cert path_to_RootCA
- Lorsque vous y êtes invité, fournissez les informations d'identification d'administrateur Single Sign-On.
- Si vos certificats personnalisés sont émis par une autorité de certification intermédiaire, vous devez également ajouter l'autorité de certification intermédiaire au magasin TRUSTED_ROOTS sur vCenter Server, par exemple :
/usr/lib/vmware-vmafd/bin/dir-cli trustedcert publish --cert path_to_intermediateCA
Que faire ensuite
Définissez le mode de certificat sur Personnalisé. Si le mode de certificat est VMCA (par défaut) et que vous effectuez une actualisation des certificats, vos certificats personnalisés sont remplacés par des certificats signés par l'autorité de certification VMware (VMCA). Reportez-vous à la section Changer le mode de certificat d'ESXi.