Partagez l'article

Connexion






Mot de passe oublié ?
Identifiant oublié ?
Pas encore inscrit ? Créer un compte

Up-coming events

There are no up-coming events

Remplacer le certificat SSL de l'appliance Vcenter par un certificat custom PDF Imprimer Envoyer
Note des utilisateurs: / 2
MauvaisTrès bien 
Écrit par Cédric Bravo   

Comment remplacer le certificat SSL de l'appliance Vcenter par un certificat issu de votre autorité de certification.

La procédure de remplacement d'un certificat sur une appliance Vcenter n'est pas forcément triviale.

Ci desous les étapes à franchir pour importer votre propre certificats dans une appliance Vcenter avec PST intégré.

 

Pré-requis 1 : Il est préconisé d'effectuer un SnapShot de l'Appliance afin de sécuriser le changement.
Pré-requis 2 : Il est nécessaire de s'assurer que l'appliance peut accéder aux serveurs de CRL (Certificate Revocation List), ainsi qu'aux serveurs de certificats en http.

 

Effectuer la demande de CSR

Connectez vous en SSH à l'Appliance Vsphere et lancer le vSphere 6.0 Certificate Manager:
/usr/lib/vmware-vmca/bin/certificate-manager

Replace Cert1 

  1. Sélectionner Option 1 (Replace Machine SSL certificate with Custom Certificate)

  2. Indiquer le mot de passe du compte administrator@vsphere.local

  3. Sélectionner Option 1 (Generate Certificate Signing Request(s) and Key(s) for Machine SSL certificate).

  4. Indiquer le répertoire de destination de la clef privée et de la CSR.
    Note: les fichiers créé auront pour nom : vmca_issued_csr.csr and vmca_issued_key.key.

  5. Rendez vous dans le répertoire contenant la CSR, vous pouvez récupérer son contenu en effectuant un copié collé dans le fenêtre Putty.

Replace Cert2

Vous pouvez ensuite réaliser votre demande de certificat auprès de votre autorité de certification.

Formatage des certificats avant importation

Pour configurer les certificats de l'appliance Vcenter, il est nécessaire de disposer de deux certificats :

  • Le fichier contenant le certificats de l'autorité racine
  • Le fichier contenant le certificat SSL demandé pour votre appliance Vcenter
  1. Récupérer le certificat de votre autorité de certification et renommez le en "Root64.cer"
    Si votre autorité de certification est composée d'une chaine de serveurs (Autorité Racine + intermédiaires) vous devez fusionner les certificats dans le fichier "Root64.cer" comme indiqué ci-dessous (éditer le .cer avec notepad pour récupérer son contenu).

    -----BEGIN CERTIFICATE-----
    MIIDZzCCAk+gAwIBAgIQNO7aLfykR4pE94tcRe0vyDANBgkqhkiG9w0BAQUFADBG
    K73RIKZaDkBOuUlRSIfgfovUFJrdwGtMWo3m4dpN7csQAjK/uixfJDVRG0nXk9pq
    GXaS5/YCv5B4q4T+j5pa2f+a61ygjN1YQRoZf2CHLe7Zq89Xv90nhPM4foWdNNkr <-Intermediate Cert
    /Esf1E6fnrItsXpIchQOmvQViis12YyUvwko2aidjVm9sML0ANiLJZSoQ9Zs/WGC
    TLqwbQm6tNyFB8c=
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    MIIDZzCCAk+gAwIBAgIQNO7aLfykR4pE94tcRe0vyDANBgkqhkiG9w0BAQUFADBG
    K73RIKZaDkBOuUlRSIfgfovUFJrdwGtMWo3m4dpN7csQAjK/uixfJDVRG0nXk9pq
    GXaS5/YCv5B4q4T+j5pa2f+a61ygjN1YQRoZf2CHLe7Zq89Xv90nhPM4foWdNNkr <-Root Cert
    /Esf1E6fnrItsXpIchQOmvQViis12YyUvwko2aidjVm9sML0ANiLJZSoQ9Zs/WGC
    TLqwbQm6tNyFB8c=
    -----END CERTIFICATE-----

    Note 1: Dans le cas d'un fichier .p7b, effectuer une exportation au format X.509 base 64 (.cer) pour obtenir les .cer

  2. Rajouter le contenu du certificat SSL récupéré au début du fichier "Root64.cer" nouvellement créé et sauvegardez le avec le nom "<FQDN Vcenter>.cer"
    Exemple :

    -----BEGIN CERTIFICATE-----
    MIIFxTCCBK2gAwIBAgIKYaLJSgAAAAAAITANBgkqhkiG9w0BAQUFADBGMRMwEQYK
    CZImiZPyLGQBGRYDbmV0MRYwFAYKCZImiZPyLGQBGRYGbW5uZXh0MRcwFQYDVQQD
    Ew5tbm5leHQtQUQtMS1DQTAeFw0xMzAyMDExNjAxMDNaFw0xNTAyMDExNjExMDNa <-Certificate
    SMhYhbv3wr7XraAnsIaBYCeg+J7fKTFgjA8bTwC+dVTaOSXQuhnZfrOVxlfJ/Ydm
    NS7WBBBFd9V4FPyRDPER/QMVl+xyoaMGw0QKnslmq/JvID4FPd0/QD62RAsTntXI
    ATa+CS6MjloKFgRaGnKAAFPsrEeGjb2JgMOpIfbdx4KT3WkspsK3KPwFPoYza4ih
    4eT2HwhcUs4wo7X/XQd+CZjttoLsSyCk5tCmOGU6xLaE1s08R6sz9mM=
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    MIIDZzCCAk+gAwIBAgIQNO7aLfykR4pE94tcRe0vyDANBgkqhkiG9w0BAQUFADBG
    K73RIKZaDkBOuUlRSIfgfovUFJrdwGtMWo3m4dpN7csQAjK/uixfJDVRG0nXk9pq
    GXaS5/YCv5B4q4T+j5pa2f+a61ygjN1YQRoZf2CHLe7Zq89Xv90nhPM4foWdNNkr <-Intermediate Cert
    /Esf1E6fnrItsXpIchQOmvQViis12YyUvwko2aidjVm9sML0ANiLJZSoQ9Zs/WGC
    TLqwbQm6tNyFB8c=
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    MIIDZzCCAk+gAwIBAgIQNO7aLfykR4pE94tcRe0vyDANBgkqhkiG9w0BAQUFADBG
    K73RIKZaDkBOuUlRSIfgfovUFJrdwGtMWo3m4dpN7csQAjK/uixfJDVRG0nXk9pq
    GXaS5/YCv5B4q4T+j5pa2f+a61ygjN1YQRoZf2CHLe7Zq89Xv90nhPM4foWdNNkr <-Root Certificate
    /Esf1E6fnrItsXpIchQOmvQViis12YyUvwko2aidjVm9sML0ANiLJZSoQ9Zs/WGC
    TLqwbQm6tNyFB8c=
    -----END CERTIFICATE-----

Installation des certificats

  1. Connectez vous en SSH à l'Appliance Vsphere
  2. Copier les fichiers certificats dans l'emplacement /usr/lib/vmware-vmca/bin/
  3. Lancer l'outil ./usr/lib/vmware-vmca/bin/certificate-manager
  4. faire le choix "1- Replace Machine SSL certificate with Custom Certificate"
  5. Tapez le mot de passe du compte administrator@vsphere.local
  6. faire le choix "2. Import custom certificate(s) and key(s) to replace existing Machine SSL certificate"
  7. indiquez l'emplacement du certificat machine <FQDN Vcenter>.cer
  8. indiquez l'emplacement de la clef privée générée lors de la CSR. (vmca_issued_key.key)
  9. indiquez l'emplacement du certificat de l'AC (fichier Root64.cer créé plus haut).
  10. Lancez la mise à jour.
  11. Tester le bon fonctionnement de l'appliance et fusionner le snapshot si nécessaire

Note 2 : Dans l'appliance, vous pouvez copier coller les chaines des certificats à l'aide de VI dans l'interface putty.

Note 3 : Après avoir changé le certificat du Vcenter, il sera nécessaire de reconnecter le NSX Manager (Si NSX est présent)
https://pubs.vmware.com/NSX-6/index.jsp?topic=%2Fcom.vmware.nsx.install.doc%2FGUID-D18A11DF-3D85-4B80-8713-D611648D43F4.html

 

Articles en références.

https://kb.vmware.com/selfservice/search.do?cmd=displayKC&docType=kc&docTypeID=DT_KB_1_1&externalId=2112277
https://kb.vmware.com/selfservice/search.do?cmd=displayKC&docType=kc&docTypeID=DT_KB_1_1&externalId=2112014

https://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=2112277

Mise à jour le Lundi, 30 Janvier 2017 18:47
 
Bannière

Joomla! is Free Software released under the GNU/GPL License.