Sécuriser l'accès à VMware vCenter Server (VCSA) en HTTPS (dans une infrastructure multi-sites) sous VMware vSphere 6.7

8. Renouveler les certificats SSL utilisés en interne par VMware vSphere (facultatif)

Sur votre 1er serveur VMware vCenter Server (VCSA), vous pouvez renouveler les certificats utilisés en interne en cliquant sur le lien "Renouveler tout" à côté de "Certificats de la solution".

Le message "4 certificats renouvelés avec succès" apparait.

Faites de même sur votre 2ème serveur VMware vCenter Server (VCSA).

Le message "4 certificats renouvelés avec succès" apparait.

9. Exporter le certificat de vos autorités de certification

Pour que les nouveaux certificats de vos serveurs VMware vCenter Server (VCSA) puissent être utilisés sans aucun problème, il faut que vous ajoutiez le certificat de vos autorités de certification dans la section "Certificats approuvés" de ceux-ci.
Pour cela, commencez par exporter le certificat de votre autorité de certification racine.

Vous pouvez le trouver sur votre autorité de certification racine (bien que celle-ci soit surement hors ligne si vous avez suivi les bonnes pratiques de Microsoft) ou dans le magasin de certificat "Autorités de certification racines de confiance" de n'importe quel ordinateur ou serveur qui fait déjà confiance à celle-ci.
Pour l'exporter, faites un simple clic droit "Toutes les tâches -> Exporter" sur ce certificat.

Exportez-le au format "base 64 (*.cer)".

Choisissez où et sous quel nom vous souhaitez l'exporter.

Ensuite, exportez le certificat de vos autorités de certification secondaires depuis le magasin de certificat "Autorité de certification intermédiaires" de ce même ordinateur ou serveur.

Une fois les certificats exportés, vous obtiendrez ceci.

Dans notre cas :

• iw-brux-sub-ca.cer : le certificat de notre autorité de certification secondaire de Bruxelles
• iw-brux-paris-ca.cer : le certificat de notre autorité de certification secondaire de Paris
• iw-root-ca.cer : le certificat de notre autorité de certification racine autonome (qui dans notre cas se trouve au siège de notre entreprise à Bruxelles)

10. Ajouter le certificat de vos autorités de certification dans les certificats racines approuvés de votre serveur vCenter Server (VCSA)

Maintenant que vous possédez les certificats publics de vos autorités de certification, allez dans la gestion des certificats de votre serveur vCenter Server (VCSA) et ajoutez-les dans la section "Certificats racines approuvés".

Sur chacun de vos serveurs VMware vCenter Server (VCSA), ajoutez le certificat de votre autorité de certification racine autonome.

Ensuite, sur chacun de vos serveurs VMware vCenter Server (VCSA), ajoutez le certificat de votre 1ère autorité de certification secondaire.

Ainsi, que celui de la 2ème autorité de certification secondaire.

En effet, vos 2 serveurs VMware vCenter Server (VCSA) partagent le même domaine SSO VMware vSphere (vsphere.local) grâce au mode ELM.
Néanmoins, étant donné que les certificats de vos 2 serveurs ("brux-vcsa" et "paris-vcsa" dans notre cas) sont signés par des autorités de certifications secondaires différentes, nous vous recommandons d'ajouter les certificats de ces 2 autorités de certifications secondaires pour éviter d'avoir des problèmes de connexion à VCSA plus tard.

Sur notre 1er serveur VMware vCenter Server (VCSA) nous possédons 5 certificats approuvés :

• le certificat de l'autorité de certification "VMCA" de votre serveur VMware vCenter Server (VCSA).
• le certificat de l'autorité de certification "VMCA" du serveur VMware vCenter Server (VCSA) distant lié au vôtre grâce au mode ELM.
• le certificat de votre autorité de certification racine autonome (dans notre cas : InformatiWeb Root CA (Brux)).
• le certificat de vos 2 autorités de certification secondaires d'entreprise (dans notre cas : InformatiWeb Sub CA (Brux) et InformatiWeb Sub CA (Paris)).

Si vous cliquez sur le lien "Afficher les détails" pour les 3 derniers certificats visibles ci-dessus, vous verrez qu'il s'agit du certificat de votre autorité de certification racine autonome.
Dans notre cas : InformatiWeb Root CA (Brux).

Le certificat de votre 1ère autorité de certification secondaire d'entreprise.
Dans notre cas, celui de notre autorité de certification secondaire "InformatiWeb Sub CA (Brux)" qui a été délivré par notre autorité de certification racine autonome "InformatiWeb Root CA (Brux)".

Le certificat de votre 2ème autorité de certification secondaire d'entreprise.
Dans notre cas, celui de notre autorité de certification secondaire "InformatiWeb Sub CA (Paris)" qui a été délivré par notre autorité de certification racine autonome "InformatiWeb Root CA (Brux)".

11. Mettre à jour le certificat SSL utilisé par VMware vCenter Server (VCSA)

Pour que les changements concernant les différents certificats de votre serveur VMware vCenter Server (VCSA) soient pris en compte, vous devez redémarrer votre serveur VCSA.
Néanmoins, pour que cela soit plus rapide, nous vous recommandons de redémarrer uniquement les services de VCSA plutôt que de redémarrer la machine virtuelle depuis votre hôte VMware ESXi.

Pour cela, connectez-vous sur vos 2 serveurs VMware vCenter Server (VCSA) via SSH et accédez au Shell Linux en tapant :

Plain Text

shell

Ensuite, redémarrez tous les services de VCSA en utilisant les commandes :

Bash

service-control --stop --all
service-control --start --all

Attention : si vous utilisez le navigateur web "Mozilla Firefox", sachez qu'il utilise un magasin de certificats différent de celui de votre ordinateur ou serveur.
Vous devrez donc y importer le certificat de vos différentes autorités de certification (la CA racine et les CA secondaires) pour qu'il puisse considérer les certificats émanant de vos autorités de certification comme valides (si tel est le cas).

Une fois que vous vous serez reconnecté sur un de vos serveurs VMware vCenter Server (VCSA), vous verrez une erreur et des avertissements apparaitre.

Plain Text

Etat du certificat.
Alarme de santé du service VMware vAPI Endpoint
Alarme de santé de vCenter Server

Ceci est dû au changement du certificat machine de votre serveur VMware vCenter Server (VCSA), ainsi qu'au redémarrage de ce serveur VCSA.

Cliquez sur les liens "Réinitialiser sur vert" pour ignorer cette erreur et ces avertissements et pour qu'ils n'apparaissent plus.

Notez que votre navigateur web n'affiche plus d'avertissement concernant le certificat de votre serveur VMware vCenter Server (VCSA).

Si nous vérifions le certificat de notre serveur "brux-vcsa" (qui se trouve à Bruxelles), nous pouvons voir qu'il a été délivré par notre autorité de certification secondaire "InformatiWeb Sub CA (Brux)" (située également à Bruxelles).

Si nous vérifions le certificat de notre serveur "paris-vcsa" (qui se trouve à Paris), nous pouvons voir qu'il a été délivré par notre autorité de certification secondaire "InformatiWeb Sub CA (Paris)" (située également à Paris).