Comment remplacer le certificat SSL de l'appliance Vcenter par un certificat issu de votre autorité de certification.

La procédure de remplacement d'un certificat sur une appliance Vcenter n'est pas forcément triviale.

Ci desous les étapes à franchir pour importer votre propre certificats dans une appliance Vcenter avec PST intégré.

Pré-requis 1 : Il est préconisé d'effectuer un SnapShot de l'Appliance afin de sécuriser le changement.
Pré-requis 2 : Il est nécessaire de s'assurer que l'appliance peut accéder aux serveurs de CRL (Certificate Revocation List), ainsi qu'aux serveurs de certificats en http.

Effectuer la demande de CSR

Connectez vous en SSH à l'Appliance Vsphere et lancer le vSphere 6.0 Certificate Manager:
/usr/lib/vmware-vmca/bin/certificate-manager

1. Sélectionner Option 1 (Replace Machine SSL certificate with Custom Certificate)
   
   
2. Indiquer le mot de passe du compte administrator@vsphere.local
   
   
3. Sélectionner Option 1 (Generate Certificate Signing Request(s) and Key(s) for Machine SSL certificate).
   
   
4. Indiquer le répertoire de destination de la clef privée et de la CSR.
   Note: les fichiers créé auront pour nom : vmca_issued_csr.csr and vmca_issued_key.key.
   
   
5. Rendez vous dans le répertoire contenant la CSR, vous pouvez récupérer son contenu en effectuant un copié collé dans le fenêtre Putty.

Vous pouvez ensuite réaliser votre demande de certificat auprès de votre autorité de certification.

Formatage des certificats avant importation

Pour configurer les certificats de l'appliance Vcenter, il est nécessaire de disposer de deux certificats :

• Le fichier contenant le certificats de l'autorité racine
• Le fichier contenant le certificat SSL demandé pour votre appliance Vcenter

1. Récupérer le certificat de votre autorité de certification et renommez le en "Root64.cer"
   Si votre autorité de certification est composée d'une chaine de serveurs (Autorité Racine + intermédiaires) vous devez fusionner les certificats dans le fichier "Root64.cer" comme indiqué ci-dessous (éditer le .cer avec notepad pour récupérer son contenu).
   
   

   -----BEGIN CERTIFICATE-----
   MIIDZzCCAk+gAwIBAgIQNO7aLfykR4pE94tcRe0vyDANBgkqhkiG9w0BAQUFADBG
   K73RIKZaDkBOuUlRSIfgfovUFJrdwGtMWo3m4dpN7csQAjK/uixfJDVRG0nXk9pq
   GXaS5/YCv5B4q4T+j5pa2f+a61ygjN1YQRoZf2CHLe7Zq89Xv90nhPM4foWdNNkr <-Intermediate Cert
   /Esf1E6fnrItsXpIchQOmvQViis12YyUvwko2aidjVm9sML0ANiLJZSoQ9Zs/WGC
   TLqwbQm6tNyFB8c=
   -----END CERTIFICATE-----
   -----BEGIN CERTIFICATE-----
   MIIDZzCCAk+gAwIBAgIQNO7aLfykR4pE94tcRe0vyDANBgkqhkiG9w0BAQUFADBG
   K73RIKZaDkBOuUlRSIfgfovUFJrdwGtMWo3m4dpN7csQAjK/uixfJDVRG0nXk9pq
   GXaS5/YCv5B4q4T+j5pa2f+a61ygjN1YQRoZf2CHLe7Zq89Xv90nhPM4foWdNNkr <-Root Cert
   /Esf1E6fnrItsXpIchQOmvQViis12YyUvwko2aidjVm9sML0ANiLJZSoQ9Zs/WGC
   TLqwbQm6tNyFB8c=
   -----END CERTIFICATE-----
   
   Note 1: Dans le cas d'un fichier .p7b, effectuer une exportation au format X.509 base 64 (.cer) pour obtenir les .cer
   
   

2. Rajouter le contenu du certificat SSL récupéré au début du fichier "Root64.cer" nouvellement créé et sauvegardez le avec le nom "<FQDN Vcenter>.cer"
   Exemple :
   
   

   -----BEGIN CERTIFICATE-----
   MIIFxTCCBK2gAwIBAgIKYaLJSgAAAAAAITANBgkqhkiG9w0BAQUFADBGMRMwEQYK
   CZImiZPyLGQBGRYDbmV0MRYwFAYKCZImiZPyLGQBGRYGbW5uZXh0MRcwFQYDVQQD
   Ew5tbm5leHQtQUQtMS1DQTAeFw0xMzAyMDExNjAxMDNaFw0xNTAyMDExNjExMDNa <-Certificate
   SMhYhbv3wr7XraAnsIaBYCeg+J7fKTFgjA8bTwC+dVTaOSXQuhnZfrOVxlfJ/Ydm
   NS7WBBBFd9V4FPyRDPER/QMVl+xyoaMGw0QKnslmq/JvID4FPd0/QD62RAsTntXI
   ATa+CS6MjloKFgRaGnKAAFPsrEeGjb2JgMOpIfbdx4KT3WkspsK3KPwFPoYza4ih
   4eT2HwhcUs4wo7X/XQd+CZjttoLsSyCk5tCmOGU6xLaE1s08R6sz9mM=
   -----END CERTIFICATE-----
   -----BEGIN CERTIFICATE-----
   MIIDZzCCAk+gAwIBAgIQNO7aLfykR4pE94tcRe0vyDANBgkqhkiG9w0BAQUFADBG
   K73RIKZaDkBOuUlRSIfgfovUFJrdwGtMWo3m4dpN7csQAjK/uixfJDVRG0nXk9pq
   GXaS5/YCv5B4q4T+j5pa2f+a61ygjN1YQRoZf2CHLe7Zq89Xv90nhPM4foWdNNkr <-Intermediate Cert
   /Esf1E6fnrItsXpIchQOmvQViis12YyUvwko2aidjVm9sML0ANiLJZSoQ9Zs/WGC
   TLqwbQm6tNyFB8c=
   -----END CERTIFICATE-----
   -----BEGIN CERTIFICATE-----
   MIIDZzCCAk+gAwIBAgIQNO7aLfykR4pE94tcRe0vyDANBgkqhkiG9w0BAQUFADBG
   K73RIKZaDkBOuUlRSIfgfovUFJrdwGtMWo3m4dpN7csQAjK/uixfJDVRG0nXk9pq
   GXaS5/YCv5B4q4T+j5pa2f+a61ygjN1YQRoZf2CHLe7Zq89Xv90nhPM4foWdNNkr <-Root Certificate
   /Esf1E6fnrItsXpIchQOmvQViis12YyUvwko2aidjVm9sML0ANiLJZSoQ9Zs/WGC
   TLqwbQm6tNyFB8c=
   -----END CERTIFICATE-----

Installation des certificats

1. Connectez vous en SSH à l'Appliance Vsphere
2. Copier les fichiers certificats dans l'emplacement /usr/lib/vmware-vmca/bin/
3. Lancer l'outil ./usr/lib/vmware-vmca/bin/certificate-manager
4. faire le choix "1- Replace Machine SSL certificate with Custom Certificate"
5. Tapez le mot de passe du compte administrator@vsphere.local
6. faire le choix "2. Import custom certificate(s) and key(s) to replace existing Machine SSL certificate"
7. indiquez l'emplacement du certificat machine <FQDN Vcenter>.cer
8. indiquez l'emplacement de la clef privée générée lors de la CSR. (vmca_issued_key.key)
9. indiquez l'emplacement du certificat de l'AC (fichier Root64.cer créé plus haut).
10. Lancez la mise à jour.
11. Tester le bon fonctionnement de l'appliance et fusionner le snapshot si nécessaire

Note 2 : Dans l'appliance, vous pouvez copier coller les chaines des certificats à l'aide de VI dans l'interface putty.

Note 3 : Après avoir changé le certificat du Vcenter, il sera nécessaire de reconnecter le NSX Manager (Si NSX est présent)
https://pubs.vmware.com/NSX-6/index.jsp?topic=%2Fcom.vmware.nsx.install.doc%2FGUID-D18A11DF-3D85-4B80-8713-D611648D43F4.html
 

Articles en références.

https://kb.vmware.com/selfservice/search.do?cmd=displayKC&docType=kc&docTypeID=DT_KB_1_1&externalId=2112277
https://kb.vmware.com/selfservice/search.do?cmd=displayKC&docType=kc&docTypeID=DT_KB_1_1&externalId=2112014

https://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=2112277