Sécuriser l'accès à VMware vCenter Server (VCSA) en HTTPS sous VMware vSphere 6.7

15. Faire confiance aux certificats SSL émis par l'autorité de certification VMCA

Si vous souhaitez que vos ordinateurs clients et/ou vos serveurs puissent faire confiance aux certificats émis par votre autorité de certification VMCA, vous aurez besoin du certificat de cette autorité de certification.
Pour cela, il suffit d'accéder à l'adresse : https://vcsa.informatiweb.lan/certs/download.zip.

Source : How to download and install vCenter Server root certificates to avoid Web Browser certificate warnings (2108294).

Un fichier "download.zip" sera proposé en téléchargement.

Décompressez le fichier "download.zip" téléchargé depuis votre serveur VCSA et allez dans le dossier : download/certs/win.
Dans ce dossier, vous trouverez :

• plusieurs certificats de sécurité au format ".crt"
• une liste de révocation des certificats au format ".crl"

Les certificats exportés correspondent aux autorités de certification auxquelles votre serveur VCSA fait confiance.

Ces certificats correspondent à ceux se trouvant dans la section "Certificats racines approuvés" de la page "Gestion des certificats" de votre serveur VCSA.

Dans notre cas, nous trouvons le certificat de notre autorité de certification racine "InformatiWeb CA" à laquelle notre ordinateur fait déjà confiance.

Vous trouverez aussi le certificat de votre autorité de certification VMCA donc le nom affiché est "CA" et à laquelle votre ordinateur ne fait pas confiance par défaut.
D'où l'erreur qui s'affiche pour celui-ci.

Plain Text

Vous ne pouvez pas faire confiance à ce certificat racine de l'autorité de certification. Pour activer la confiance, installez ce certificat dans le magasin d'autorités de certification de la racine de confiance.

Pour qu'uniquement cet ordinateur fasse confiance aux certificats émis par cette autorité de certification VMCA, cliquez sur : Installer un certificat
Sinon, pour que plusieurs ordinateurs et/ou serveurs fassent confiance aux certificats émis par cette autorité de certification VMCA, utilisez les stratégies de groupes comme expliqué un peu plus loin dans ce tutoriel.

Si vous avez cliqué sur "Installer un certificat", l'assistant Importation du certificat apparaitra.
Cliquez sur Suivant.

Assurez-vous que ce certificat sera placé dans le magasin de certificats : Autorité de certification racines de confiance.
Dans le cas contraire, cliquez sur "Parcourir" et sélectionnez-le.

Ensuite, cliquez sur Suivant.

Pour finir, cliquez sur Terminer.

Le message "L'importation a réussi" apparait.

Important : si vous utilisez le navigateur web "Mozilla Firefox", vous devrez aussi importer ce certificat dans son gestionnaire de certificats.
En effet, comme expliqué précédemment, ce navigateur web utilise son propre magasin de certificats. Contrairement à Google Chrome, Microsoft Edge et Internet Explorer qui utilise celui de Windows.

Si vous souhaitez que tous vos ordinateurs et/ou serveurs puissent faire confiance aux certificats émis par cette autorité de certification VMCA, vous devrez l'ajouter au magasin de certificats "Autorité de certifications racines de confiance" de ceux-ci grâce aux stratégies de groupe (GPOs).
Pour cela, référez-vous à l'étape "Distribuer le certificat de l'autorité aux clients de l'Active Directory" de notre tutoriel "WS 2012 / 2012 R2 - Créer une autorité de certification racine d'entreprise".
Comme vous pouvez le voir, le certificat de l'autorité de certification VMCA apparaitra sous le nom "CA".

16. Certificats des hôtes VMware ESXi considérés comme valides

Une fois le certificat de l'autorité de certification VMCA importé dans le magasin de certificats de votre ordinateur et de Mozilla Firefox (le cas échéant), relancez votre navigateur web favori et tentez d'accéder à un de vos hôtes VMware ESXi liés à votre serveur VCSA.
Comme vous pouvez le voir, aucun avertissement ne s'affichera et la connexion sera considérée comme sécurisée.

Important : si vous avez choisi de distribuer le certificat de VMCA grâce aux stratégies de groupes, vous devrez d'abord forcer la mise à jour des stratégies de groupe (via un "gpupdate /force") sur votre ordinateur pour que le certificat soit ajouté au magasin de certificat de votre ordinateur ou serveur.

Comme vous pouvez le voir, le certificat utilisé sur l'hôte VMware ESXi souhaité a été vérifié par votre serveur VCSA (dans notre cas : vcsa.informatiweb.lan).

Si vous cliquez sur "Plus d'informations" (sous Mozilla Firefox), vous verrez que le l'identité du site web est "esxi1.informatiweb.lan" (dans notre cas) et qu'il a été vérifié par "vcsa.informatiweb.lan".
Cliquez sur "Afficher le certificat" pour obtenir plus d'informations.

Comme vous pouvez le voir, le certificat de votre hôte VMware ESXi a été émis par l'autorité de certification VMCA (CA vsphere local).

Notez qu'en entreprise, il est très rare d'accéder directement à un hôte VMware ESXi lorsque vous possédez une infrastructure virtuelle VMware vSphere. En effet, vous gérez ceux-ci de façon centralisée via le VMware vSphere Client de votre serveur VMware vCenter Server (VCSA).
C'est d'ailleurs pour cette raison que VMware a créé un mode de verrouillage qui vous permet de bloquer l'accès direct à un hôte VMware ESXi depuis son interface web, ainsi que depuis sa console DCUI (Interface Utilisateur de la Console Directe) si vous le souhaitez.

Plutôt que de configurer vos ordinateurs et serveurs pour faire confiance à l'autorité de certification VMCA utilisée par votre infrastructure virtuelle VMware vSphere, vous devriez donc configurer le mode de verrouillage en mode normal, voire strict (en fonction de la politique de sécurité de votre entreprise).
Ainsi, étant donné que l'accès depuis l'interface web de vos hôtes VMware ESXi sera bloqué, il sera inutile d'ajouter cette confiance à cette autorité VMCA.

Depuis le VMware vSphere Client, vous pouvez configurer ce mode de verrouillage sur un hôte VMware ESXi en sélectionnant l'hôte souhaité, puis en allant dans : Configurer -> Système -> Profil de sécurité.
Ensuite, cliquez sur le bouton "Modifier" à droite de "Mode verrouillage".