Sécuriser l'accès à VMware vCenter Server (VCSA) en HTTPS sous VMware vSphere 6.7

3. Créer un modèle de certificats pour le certificat machine de VMware vCenter Server

Pour générer des certificats adaptés à VMware vCenter Server, vous devrez créer un nouveau modèle de certificats sur votre autorité de certification sous Windows Server.

Pour cela, ouvrez la console "Autorité de certification" sur votre serveur sous Windows Server et faites un clic droit "Gérer" sur "Modèles de certificats".

Pour commencer, dupliquez le modèle "Serveur Web".

Source : Creating a Microsoft Certificate Authority Template for SSL certificate creation in vSphere 6.x/7.x (2112009) - VMware

Dans la fenêtre "Propriétés du nouveau modèle" qui s'affiche, allez dans l'onglet "Compatibilité".

Pour l'option "Autorité de certification", sélectionnez au maximum "Windows Server 2008 R2".

Dans le cas contraire, un nouveau modèle de certificat en version 4 sera créé. Ce qui signifie que celui-ci ne sera pas disponible dans l'interface web de votre autorité de certification sous Windows Server.

Source : Windows Server 2012: Certificate Template Versions and Options.

Une fenêtre "Modifications résultantes" apparait suite à la modification de la compatibilité "Autorité de certification".
Cliquez sur OK.

Ensuite, pour le destinataire du certificat, sélectionnez "Windows 8 / Windows Server 2012".

Note : cela permet de supporter un algorithme de chiffrement supérieur au SHA1. Ce qui devrait être le cas chez vous étant donné que le SHA1 provoque l'affichage d'un avertissement avec le navigateur web "Edge" de Microsoft.
En effet, Edge considère l'algorithme SHA1 comme faible.

A nouveau, une fenêtre "Modifications résultantes" apparait.
Cliquez sur OK.

Note : comme vous pouvez le voir, l'extension "Contraintes de base" sera ajoutée à ce modèle.
Ce qui est un des pré-requis décrits par VMware pour le modèle de certificat à créer.

Une fois ces modifications effectuées, vous devriez obtenir ceci.
Notez que le plus important est que le destinataire du certificat soit : Windows 8 / Windows Server 2012.

Dans l'onglet "Général", indiquez "vSphere 6.x" comme nom complet du modèle.

Ce qui changera aussi le nom du modèle en "vSphere6.x" (autrement dit, la même chose sans les espaces).

Dans l'onglet "Extensions", sélectionnez "Stratégies d'application" et cliquez sur "Modifier".

Dans la fenêtre "Modifier l'extension des stratégies d'application", supprimez la stratégie d'application "Authentification du serveur" qui est actuellement présente.
Le cas échéant, supprimez également l'authentification du client si celle-ci est aussi présente.

Ensuite, cliquez sur OK pour fermer cette fenêtre.

Dans cet onglet "Extensions", sélectionnez cette fois-ci "Contraintes de base" et cliquez sur "Modifier".

Dans la fenêtre "Modifier les extensions de contraintes de base", cochez la case "Activer cette extension" et cliquez sur OK.

Cette fois-ci, sélectionnez "Utilisation de la clé" et cliquez sur "Modifier".

Dans la fenêtre "Modifier les extensions d'usage de clé" qui s'affiche, cochez la case "Signature faisant preuve de l'origine (non répudiation)" et cliquez sur OK.

Note : laissez les autres options par défaut.

Pour finir, dans l'onglet "Nom du sujet", vérifiez que l'option "Fournir dans la demande" est sélectionnée et cliquez sur OK.

Le nouveau modèle de certificats "vSphere 6.x" créé apparait dans la liste complète des modèles de certificats.

Pour que ce nouveau modèle soit utilisable, vous devez d'abord faire un clic droit "Nouveau -> Modèle de certificat à délivrer" sur "Modèles de certificats".

Sélectionnez le modèle de certificat "vSphere 6.x" dans la liste et cliquez sur OK.

Ce nouveau modèle de certificats "vSphere 6.x" apparait dans le dossier "Modèles de certificats".

4. Créer la demande de certificat pour le certificat de machine du serveur VMware vCenter Server (VCSA)

Pour obtenir un certificat SSL valide pour votre serveur VMware vCenter Server (VCSA), vous devez d'abord créer une demande de signature de certificat (CSR).
Pour cela, dans la section "Certificat SSL de machine", cliquez sur le lien "Actions -> Générer une demande de signature de certificat" pour le certificat "__MACHINE_CERT".

Une fenêtre "Générer une CSR" apparait.

Remplissez les différents champs proposés :

  • Nom commun : nom de domaine (FQDN) de votre serveur VMware vCenter Server (VCSA)
  • Organisation : nom de votre entreprise
  • Unité d'organisation : ce que vous voulez.
    Dans notre cas : VMware vSphere.
  • Pays : votre pays
  • Etat/Province : état / province où se trouve votre entreprise
  • Ville : ville où se trouve votre entreprise
  • Adresse e-mail : adresse e-mail à laquelle les visiteurs peuvent vous contacter si besoin (utile en cas de problème avec le certificat, par exemple)
  • Hôte : nom de domaine (FQDN) de votre serveur VMware vCenter Server (VCSA)
  • Autre nom de l'objet (facultatif) : le nom de domaine complet (FQDN) de votre serveur VMware vCenter Server (VCSA) en 1er pour éviter que Mozilla Firefox ne vous affiche un avertissement alors que ce nom de domaine est déjà présent en tant que nom commun.
    Ensuite, vous pouvez aussi indiquer son nom court, ainsi que son adresse IP. Les différentes valeurs doivent être séparées par des virgules.
    Ainsi, le certificat sera considéré comme valide par votre navigateur web que vous utilisiez le nom de domaine complet, le nom court ou l'adresse IP de votre serveur VMware vCenter Server (VCSA) dans sa barre d'adresse.
    Dans notre cas, cela donne : vcsa.informatiweb.lan, vcsa, 10.0.0.104.
  • Taille de la clé : laissez la taille indiquée par défaut. En résumé, plus la taille est élevée, plus la connexion est sécurisée. Mais, plus la taille est élevée, plus le processeur sera sollicité pour le chiffrement (la sécurisation) de la connexion HTTPS.

Une fois les informations indiquées, cliquez sur Suivant.

Note : si besoin, référez-vous aux pré-requis indiqués par VMware : Remplacer le certificat SSL de machine par un certificat personnalisé.

La demande de certificat à soumettre à votre autorité de certification sous Windows Server apparait.

Plain Text

-----BEGIN CERTIFICATE REQUEST-----
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx....
-----END CERTIFICATE REQUEST-----

A voir également

Commentaires

Pas de commentaire

Donnez-nous votre avis

Contenu épinglé

Contact

® InformatiWeb-Pro.net - InformatiWeb.net 2008-2022 - © Lionel Eppe - Tous droits réservés.

Toute reproduction totale ou partielle de ce site est interdite et constituerait une contrefaçon sanctionnée par les articles L.335-2 et suivants du Code de la propriété intellectuelle.