Par défaut, l'accès web de votre serveur VMware vCenter Server (VCSA) est protégé avec un certificat SSL qui est émis par une autorité de certification "VMCA" qui n'est pas reconnue par votre ordinateur.
Pour en savoir plus, référez-vous à notre précédent tutoriel : VMware vSphere 6.7 - Sécuriser l'accès à VMware vCenter Server (VCSA) en HTTPS.
Par défaut, lorsque vous accédez à l'interface web de votre serveur VMware vCenter Server (VCSA), un avertissement s'affiche, car l'émetteur du certificat utilisé est inconnu.
Si vous cliquez sur "Afficher le certificat", vous verrez que ce certificat a été émis par : CA vsphere local.
Ce qui correspond à l'autorité de certification VMCA créée automatiquement sur votre serveur VMware vCenter Server (VCSA) lors de l'installation de votre serveur.
Vous pouvez d'ailleurs le vérifier en allant dans le menu de VMware vSphere Client, puis dans : Administration -> Certificats -> Gestion des certificats -> Certificats racines approuvés.
Comme vous pouvez le voir, le seul certificat qui se trouve dans cette section est celui de VMCA dont le nom est "CA" et qui correspond à l'émetteur du certificat utilisé par VMware vSphere Client par défaut.
Pour générer un certificat qui sera valide pour votre serveur VMware vCenter Server, vous devez créer un nouveau modèle de certificat sur votre autorité de certification sous Windows Server.
Pour cela, référez-vous à l'étape "3. Créer un modèle de certificats pour le certificat machine de VMware vCenter Server" notre précédent tutoriel.
Une fois ce modèle créé et ajouté aux modèles de certificats à délivrer, vous verrez ce nouveau modèle "vSphere 6.x" apparaitre dans la liste des modèles de certificats de votre autorité de certification.
Pour pouvoir sécuriser votre serveur VMware vCenter Server (VCSA) en utilisant la ligne de commandes, il est évident que le protocole SSH doit être activé sur votre serveur VCSA.
Pour cela, accédez à la page "Gestion des dispositifs" en accédant à l'adresse : https://[nom de domaine de votre serveur VCSA]:5480/ui/.
Ce qui donne dans notre cas : https://vcsa.informatiweb.lan:5480/ui/.
Sur la page "Gestion des dispositifs" qui apparait, connectez-vous en tant que root, puis allez dans la section "Accès".
Le paramètre d'accès "SSH" doit être activé. Si ce n'est pas le cas, cliquez sur Modifier.
Activez le paramètre "Activer la connexion SSH" et cliquez sur OK.
Pour commencer, connectez-vous en SSH à votre serveur VMware vCenter Server (VCSA).
Sous Windows, vous pouvez utiliser PuTTY (par exemple).
Connectez-vous en tant que "root" et utilisez la commande "shell" pour accéder au shell BASH (Linux) de votre serveur VCSA (VMware vCenter Server Appliance).
En effet, par défaut, vous vous trouvez dans le shell de l'appliance VCSA et non celui de Linux.
Bash
shell
Pour commencer, créez un dossier "certs" à la racine de votre serveur VCSA dans lequel vous pourrez stocker plus tard la demande de certificat (CSR), la clé privée associée et les certificats nécessaires.
Bash
mkdir /certs
Ensuite, lancez le gestionnaire de certificats de VCSA (VMware vCenter Server Appliance) et choisissez l'option 1 (Replace Machine SSL certificate with Custom Certificate).
Ce qui vous permettra de remplacer uniquement le certificat protégeant le client web (VMware vSphere Client) de votre serveur VMware vCenter Server (VCSA).
Bash
/usr/lib/vmware-vmca/bin/certificate-manager
Plain Text
*** Welcome to the vSphere 6.7 Certificate Manager *** -- Select Operation -- 1. Replace Machine SSL certificate with Custom Certificate ... Option[1 to 8]: 1
Indiquez les identifiants d'un compte vCenter de votre domaine SSO vSphere autorisé à effectuer des opérations concernant les certificats.
Par exemple : le compte "administrator@vsphere.local" créé par défaut lors de l'installation de VMware vCenter Server (VCSA).
Plain Text
Please provide valid SSO and VC privileged user credential to perform certificate operations. Enter username [Administrator@vsphere.local]: Enter password:
Sélectionnez l'option 1 pour générer une demande de certificat pour le certificat SSL machine.
Plain Text
1. Generate Certificate Signing Request(s) and Key(s) for Machine SSL certificate. 2. Import custom certificate(s) and key(s) to replace existing Machine SSL certificate. Option [1 or 2]: 1
Indiquez le chemin du dossier "certs" créé précédemment.
Comme indiqué par l'assistant, la demande de certificat (CSR) et la clé privée associée seront créées dans ce dossier.
Plain Text
Please provide a directory location to write the CSR(s) and PrivateKey(s) to: Output directory path: /certs
Pour créer la demande de certificat, vous devrez fournir les informations suivantes :
Une fois toutes ces informations renseignées, vous pourrez voir que 2 commandes seront exécutées :
Comme vous pouvez le voir, la clé privée et la demande de certificat (CSR) générées ont été créées dans votre dossier : /certs.
VMware 3/2/2023
VMware 31/8/2022
VMware 6/9/2024
VMware 16/2/2024
Contenu épinglé
Contact
® InformatiWeb-Pro.net - InformatiWeb.net 2008-2022 - © Lionel Eppe - Tous droits réservés.
Toute reproduction totale ou partielle de ce site est interdite et constituerait une contrefaçon sanctionnée par les articles L.335-2 et suivants du Code de la propriété intellectuelle.
Vous devez être connecté pour pouvoir poster un commentaire