Comment remplacer le certificat SSL de l'appliance Vcenter par un certificat issu de votre autorité de certification.
La procédure de remplacement d'un certificat sur une appliance Vcenter n'est pas forcément triviale.
Ci desous les étapes à franchir pour importer votre propre certificats dans une appliance Vcenter avec PST intégré.
Pré-requis 1 : Il est préconisé d'effectuer un SnapShot de l'Appliance afin de sécuriser le changement. Pré-requis 2 : Il est nécessaire de s'assurer que l'appliance peut accéder aux serveurs de CRL (Certificate Revocation List), ainsi qu'aux serveurs de certificats en http.
Effectuer la demande de CSR
Connectez vous en SSH à l'Appliance Vsphere et lancer le vSphere 6.0 Certificate Manager: /usr/lib/vmware-vmca/bin/certificate-manager
- Sélectionner Option 1 (Replace Machine SSL certificate with Custom Certificate)
- Indiquer le mot de passe du compte administrator@vsphere.local
- Sélectionner Option 1 (Generate Certificate Signing Request(s) and Key(s) for Machine SSL certificate).
- Indiquer le répertoire de destination de la clef privée et de la CSR.
Note: les fichiers créé auront pour nom : vmca_issued_csr.csr and vmca_issued_key.key.
- Rendez vous dans le répertoire contenant la CSR, vous pouvez récupérer son contenu en effectuant un copié collé dans le fenêtre Putty.

Vous pouvez ensuite réaliser votre demande de certificat auprès de votre autorité de certification.
Formatage des certificats avant importation
Pour configurer les certificats de l'appliance Vcenter, il est nécessaire de disposer de deux certificats :
- Le fichier contenant le certificats de l'autorité racine
- Le fichier contenant le certificat SSL demandé pour votre appliance Vcenter
- Récupérer le certificat de votre autorité de certification et renommez le en "Root64.cer"
Si votre autorité de certification est composée d'une chaine de serveurs (Autorité Racine + intermédiaires) vous devez fusionner les certificats dans le fichier "Root64.cer" comme indiqué ci-dessous (éditer le .cer avec notepad pour récupérer son contenu).
-----BEGIN CERTIFICATE----- MIIDZzCCAk+gAwIBAgIQNO7aLfykR4pE94tcRe0vyDANBgkqhkiG9w0BAQUFADBG K73RIKZaDkBOuUlRSIfgfovUFJrdwGtMWo3m4dpN7csQAjK/uixfJDVRG0nXk9pq GXaS5/YCv5B4q4T+j5pa2f+a61ygjN1YQRoZf2CHLe7Zq89Xv90nhPM4foWdNNkr <-Intermediate Cert /Esf1E6fnrItsXpIchQOmvQViis12YyUvwko2aidjVm9sML0ANiLJZSoQ9Zs/WGC TLqwbQm6tNyFB8c= -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- MIIDZzCCAk+gAwIBAgIQNO7aLfykR4pE94tcRe0vyDANBgkqhkiG9w0BAQUFADBG K73RIKZaDkBOuUlRSIfgfovUFJrdwGtMWo3m4dpN7csQAjK/uixfJDVRG0nXk9pq GXaS5/YCv5B4q4T+j5pa2f+a61ygjN1YQRoZf2CHLe7Zq89Xv90nhPM4foWdNNkr <-Root Cert /Esf1E6fnrItsXpIchQOmvQViis12YyUvwko2aidjVm9sML0ANiLJZSoQ9Zs/WGC TLqwbQm6tNyFB8c= -----END CERTIFICATE-----
Note 1: Dans le cas d'un fichier .p7b, effectuer une exportation au format X.509 base 64 (.cer) pour obtenir les .cer
- Rajouter le contenu du certificat SSL récupéré au début du fichier "Root64.cer" nouvellement créé et sauvegardez le avec le nom "<FQDN Vcenter>.cer"
Exemple :
-----BEGIN CERTIFICATE----- MIIFxTCCBK2gAwIBAgIKYaLJSgAAAAAAITANBgkqhkiG9w0BAQUFADBGMRMwEQYK CZImiZPyLGQBGRYDbmV0MRYwFAYKCZImiZPyLGQBGRYGbW5uZXh0MRcwFQYDVQQD Ew5tbm5leHQtQUQtMS1DQTAeFw0xMzAyMDExNjAxMDNaFw0xNTAyMDExNjExMDNa <-Certificate SMhYhbv3wr7XraAnsIaBYCeg+J7fKTFgjA8bTwC+dVTaOSXQuhnZfrOVxlfJ/Ydm NS7WBBBFd9V4FPyRDPER/QMVl+xyoaMGw0QKnslmq/JvID4FPd0/QD62RAsTntXI ATa+CS6MjloKFgRaGnKAAFPsrEeGjb2JgMOpIfbdx4KT3WkspsK3KPwFPoYza4ih 4eT2HwhcUs4wo7X/XQd+CZjttoLsSyCk5tCmOGU6xLaE1s08R6sz9mM= -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- MIIDZzCCAk+gAwIBAgIQNO7aLfykR4pE94tcRe0vyDANBgkqhkiG9w0BAQUFADBG K73RIKZaDkBOuUlRSIfgfovUFJrdwGtMWo3m4dpN7csQAjK/uixfJDVRG0nXk9pq GXaS5/YCv5B4q4T+j5pa2f+a61ygjN1YQRoZf2CHLe7Zq89Xv90nhPM4foWdNNkr <-Intermediate Cert /Esf1E6fnrItsXpIchQOmvQViis12YyUvwko2aidjVm9sML0ANiLJZSoQ9Zs/WGC TLqwbQm6tNyFB8c= -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- MIIDZzCCAk+gAwIBAgIQNO7aLfykR4pE94tcRe0vyDANBgkqhkiG9w0BAQUFADBG K73RIKZaDkBOuUlRSIfgfovUFJrdwGtMWo3m4dpN7csQAjK/uixfJDVRG0nXk9pq GXaS5/YCv5B4q4T+j5pa2f+a61ygjN1YQRoZf2CHLe7Zq89Xv90nhPM4foWdNNkr <-Root Certificate /Esf1E6fnrItsXpIchQOmvQViis12YyUvwko2aidjVm9sML0ANiLJZSoQ9Zs/WGC TLqwbQm6tNyFB8c= -----END CERTIFICATE-----
Installation des certificats
- Connectez vous en SSH à l'Appliance Vsphere
- Copier les fichiers certificats dans l'emplacement /usr/lib/vmware-vmca/bin/
- Lancer l'outil ./usr/lib/vmware-vmca/bin/certificate-manager
- faire le choix "1- Replace Machine SSL certificate with Custom Certificate"
- Tapez le mot de passe du compte administrator@vsphere.local
- faire le choix "2. Import custom certificate(s) and key(s) to replace existing Machine SSL certificate"
- indiquez l'emplacement du certificat machine <FQDN Vcenter>.cer
- indiquez l'emplacement de la clef privée générée lors de la CSR. (vmca_issued_key.key)
- indiquez l'emplacement du certificat de l'AC (fichier Root64.cer créé plus haut).
- Lancez la mise à jour.
- Tester le bon fonctionnement de l'appliance et fusionner le snapshot si nécessaire
Note 2 : Dans l'appliance, vous pouvez copier coller les chaines des certificats à l'aide de VI dans l'interface putty.
Note 3 : Après avoir changé le certificat du Vcenter, il sera nécessaire de reconnecter le NSX Manager (Si NSX est présent) https://pubs.vmware.com/NSX-6/index.jsp?topic=%2Fcom.vmware.nsx.install.doc%2FGUID-D18A11DF-3D85-4B80-8713-D611648D43F4.html
Articles en références.
https://kb.vmware.com/selfservice/search.do?cmd=displayKC&docType=kc&docTypeID=DT_KB_1_1&externalId=2112277 https://kb.vmware.com/selfservice/search.do?cmd=displayKC&docType=kc&docTypeID=DT_KB_1_1&externalId=2112014
https://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=2112277
|