Sécuriser l'accès à VMware vCenter Server (VCSA) en HTTPS sous VMware vSphere 6.7

7. Remplacer le certificat SSL de machine de VMware vCenter Server

Maintenant que vous avez le certificat et la clé privée nécessaire pour sécuriser l'accès à votre serveur VMware vCenter Server (VCSA), cliquez sur le lien "Actions -> Remplacer" pour le certificat SSL de machine "__MACHINE_CERT".

Dans la fenêtre "Remplacer le certificat" qui apparait, cliquez sur le 1er bouton "Parcourir" pour l'option "Chaine de certificats".
Comme vous pouvez le voir, VMware supporte les formats : .cer, .pem et .crt.

Sélectionnez le certificat émis pour votre serveur VMware vCenter Server converti précédemment du format ".p7b" au format ".cer" et cliquez sur Ouvrir.

Ensuite, cliquez sur le 2ème bouton "Parcourir" pour l'option "Clé privée".

Sélectionnez le fichier "vcsa-private-key.key" créé précédemment et cliquez sur Ouvrir.

Maintenant que les 2 fichiers nécessaires ont été sélectionnés, cliquez sur Remplacer.

Si cela se passe bien, le message "Certificat remplacé avec succès".
Cliquez sur le lien "Afficher les détails" pour le certificat "__MACHINE_CERT" que vous venez de remplacer.

Si cela échoue, rafraichissez la page et réessayez. Il arrive que cela échoue la 1ère fois.
Sinon, vérifiez que les fichiers sélectionnés sont corrects et les formats supportés.

Comme vous pouvez le voir, le certificat "__MACHINE_CERT" est valable pour le nom de domaine de votre serveur (nom commun : vcsa.informatiweb.lan) et a été émis par votre propre autorité de certification (délivré par : InformatiWeb CA).

Vous verrez également les autres informations indiquées lors de la création de la demande de signature de certificat apparaitre ici.

En bas de page, vous trouverez également des informations concernant l'émetteur (votre autorité de certification qui a émis ce certificat).

Pour voir les informations du certificat de votre autorité de certification, vous pouvez aussi cliquer sur le nom de votre autorité (juste en dessous du titre "__MACHINE_CERT").
Bien entendu, étant donné qu'il s'agit d'une autorité de certification racine, le nom commun du certificat et le nom de l'émetteur sont identiques.

8. Renouveler les certificats SSL utilisés en interne par VMware vSphere (facultatif)

Sur la page "Gestion des certificats", vous trouverez aussi une section "Certificats de la solution".

Comme expliqué à l'étape "2. Gestion des certificats sous VMware vCenter Server (VCSA)" de ce tutoriel, VMware vSphere utilise plusieurs certificats :

• un pour le client web de votre serveur VMware vCenter Server (VCSA) et qui correspond au certificat "__MACHINE_CERT" que vous venez de remplacer par un certificat SSL valide émanant de votre propre autorité de certification.
• 4 autres certificats SSL utilisés en interne pour sécuriser la connexion entre ses différents composants.
  Néanmoins, ceux-ci ne sont pas accessibles depuis l'extérieur. Ces 4 certificats sont ceux présents dans cette section "Certificats de la solution".

Comme vous pouvez le voir, les certificats de la solution de VMware vCenter Server (VCSA) sont toujours délivrés par "CA".
Autrement dit, ces certificats sont délivrés par l'autorité de certification "VMCA" décrite précédemment et à laquelle votre serveur VMware vCenter Server (VCSA) fait confiance par défaut.

Si vous le souhaitez, vous pouvez renouveler manuellement ces certificats en cliquant sur le lien "Renouveler tout" pour repousser leur date d'expiration.

Confirmez le renouvellement de ces certificats.
Comme précisé ici, ces certificats seront émis à l'aide du certificat racine de VMCA actuellement configuré.

Le message "4 certificats renouvelés avec succès" apparait.

9. Exporter le certificat de votre autorité de certification

Pour que vos ordinateurs clients et vos serveurs puissent vérifier la validité et donc faire confiance aux certificats émis par votre autorité de certification, il faut que le certificat de votre autorité certification fasse partie des autorités de certification racines de confiance de ceux-ci.

Pour cela, sur le serveur où votre autorité de certification est installée :

• lancez une console mmc
• allez dans le menu : Fichier -> Ajouter/Supprimer un composant logiciel enfichable
• ajoutez le composant : Certificats
• sélectionnez : Un compte d'ordinateur

Ensuite, allez dans le dossier "Autorités de certification racines de confiance -> Certificats" et faites un clic droit "Toutes les tâches -> Exporter" sur le nom de votre propre autorité de certification racine.

Dans l'assistant Exportation du certificat qui apparait, sélectionnez "X.509 encodé en base 64 (*.cer)" pour obtenir le certificat au format PEM. Car vous en aurez besoin sur vos ordinateurs et serveurs sous Windows (Server), mais aussi sur votre serveur VMware vCenter Server (VCSA).

Note : seul le certificat sera exporté étant donné qu'il s'agit du format ".cer". La clé privée associée ne sera donc pas exportée.

Cliquez sur le bouton "Parcourir" et indiquez un nom pour ce certificat.
Dans notre cas : iw-root-ca.cer.

Le certificat a été exporté.

Pour que les ordinateurs et les serveurs de votre entreprise considèrent les certificats émanant de votre autorité de certification comme valide, il est important d'importer le certificat de votre autorité de certification dans le magasin "Autorités de certification racines de confiance" de ceux-ci.
Pour cela, vous pouvez le faire manuellement sur l'ordinateur ou serveur souhaité grâce au composant "Certificats" de la console MMC ou le distribuer à tous vos ordinateurs et serveurs grâce aux stratégies de groupes.
Pour cela, référez-vous à l'étape "Distribuer le certificat de l'autorité aux clients de l'Active Directory" de notre tutoriel "WS 2012 / 2012 R2 - Créer une autorité de certification racine d'entreprise".