Renouveler ou actualiser des certificats ESXi

Si vous utilisez VMware Certificate Authority (VMCA) pour attribuer des certificats à vos hôtes, vous pouvez renouveler ces certificats à partir de vSphere Client. Si vous utilisez des certificats VMCA ou personnalisés, vous pouvez actualiser tous les certificats du magasin de TRUSTED_ROOTS associé à vCenter Server.

Vous pouvez utiliser vSphere Client pour renouveler vos certificats VMCA lorsqu'ils sont sur le point d'expirer ou si vous souhaitez provisionner l'hôte avec un nouveau certificat pour d'autres raisons. Si vous ne renouvelez pas le certificat VMCA avant son expiration, il sera renouvelé par l'instance de vCenter Server après la déconnexion et la reconnexion de l'hôte. En rajoutant l'hôte à vCenter Server, la confiance est rétablie et vCenter Server peut émettre automatiquement le certificat renouvelé.

Par défaut, l'instance de vCenter Server renouvelle le certificat VMCA des hôtes dont l'état est Expiré, Expiration imminente ou Expiration prochaine, et chaque fois que l'hôte est ajouté à l'inventaire ou qu'il est reconnecté.

Vous ne pouvez pas renouveler un certificat ESXi avec une date d'expiration ultérieure à la date d'expiration du certificat racine approuvé. Par exemple, même si l'option ESXi vpxd.certmgmt.certs.daysValid avancée est définie sur cinq ans et que votre certificat racine approuvé doit expirer dans deux ans, la date d'expiration du certificat ESXi est limitée à deux ans.

Vous pouvez utiliser vSphere Client pour transférer tous les certificats actuellement dans le magasin de TRUSTED_ROOTS du magasin VECS de l'instance de vCenter Server vers l'hôte ESXi. Utilisez cette capacité si vous devez actualiser les certificats racine approuvés sur un hôte ESXi. Cette capacité existe pour les certificats VMCA et personnalisés.

Conditions préalables

Vérifiez les éléments suivants :

Si vous utilisez des certificats VMCA, le mode de certificat est défini sur vmca.
Si vous utilisez des certificats personnalisés, le mode de certificat est défini sur personnalisé.
Les hôtes ESXi sont connectés au système vCenter Server.
La synchronisation de l'heure est effectuée entre le système vCenter Server et les hôtes ESXi.
La résolution DNS fonctionne entre le système vCenter Server et les hôtes ESXi.
Les certificats MACHINE_SSL_CERT et Trusted_Root du système vCenter Server sont valides et n'ont pas expiré. Consultez l'article de la base de connaissances de VMware à l'adresse https://kb.vmware.com/s/article/2111411.
Les hôtes ESXi ne sont pas en mode de maintenance.

Note : Si vous utilisez des certificats personnalisés et que vous devez les renouveler, réimportez les certificats.

Procédure

Accédez à l'hôte dans l'inventaire de vSphere Client.
Cliquez sur Configurer.
Sous Système, cliquez sur Certificat.
Vous pouvez afficher les détails du certificat de l'hôte sélectionné.

Sélectionnez l'option appropriée en fonction du type de certificat utilisé.

Option	Description
Gérer avec VMCA > Renouveler	Récupère, auprès de l'autorité de certification VMware (VMCA), un certificat venant d'être signé pour l'hôte.
Gérer avec VMCA > Actualiser les certificats d'autorité de certification ou Gérer avec l'autorité de certification externe > Actualiser les certificats d'autorité de certification	Pousse tous les certificats du magasin TRUSTED_ROOTS dans le magasin VECS de vCenter Server vers l'hôte.

Option

Description

Gérer avec VMCA > Renouveler

Récupère, auprès de l'autorité de certification VMware (VMCA), un certificat venant d'être signé pour l'hôte.

Gérer avec VMCA > Actualiser les certificats d'autorité de certification

Gérer avec l'autorité de certification externe > Actualiser les certificats d'autorité de certification

Pousse tous les certificats du magasin TRUSTED_ROOTS dans le magasin VECS de vCenter Server vers l'hôte.