Dans un environnement de production, il est important d'utiliser des certificats numériques pour sécuriser la connexion entre votre ordinateur et le serveur VMware vCenter Server (VCSA) auquel vous tentez d'accéder.
De plus, l'utilisation de certificats signés par votre autorité de certification vous permet de vérifier automatiquement l'identité du serveur auquel vous tentez d'accéder et ainsi bloquer la connexion en cas de problème.
Par défaut, lorsque vous tentez d'accéder à l'interface web de votre serveur VMware vCenter Server (VCSA), un avertissement s'affiche.
Sous Mozilla Firefox, vous recevrez l'avertissement "Attention : risque probable de sécurité".
Pour accéder tout de même à l'interface web de votre serveur, cliquez sur : Avancé.
Ensuite, Firefox vous indiquera qu'il ne fait pas confiance à [nom de domaine ou adresse IP de votre serveur VCSA], car l'émetteur de son certificat est inconnu.
L'émetteur correspondant à l'autorité de certification ayant délivré le certificat utilisé pour sécuriser la connexion à votre serveur.
Le code d'erreur affiché est : SEC_ERROR_UNKNOWN_ISSUER.
Cliquez sur "Afficher le certificat" pour voir le certificat utilisé ou sur "Accepter le risque et poursuivre" pour ignorer cet avertissement.
Si vous cliquez sur le lien "Afficher le certificat", vous verrez que le certificat :
Si vous ignorez cet avertissement, votre navigateur web vous indiquera qu'il y a un problème avec la sécurisation de la connexion à ce serveur.
Connectez-vous en tant que : administrator@vsphere.local.
Une fois connecté, vous pourrez accéder au VMware vSphere Client apparaitra.
Allez dans le menu et cliquez sur : Administration.
Dans le menu de gauche qui apparait, cliquez sur : Certificats -> Gestion des certificats.
Sur la page "Gestion des certificats" qui s'affiche, indiquez :
Ensuite, cliquez sur le bouton : Connexion et gestion des certificats.
Pour sécuriser l'accès à votre serveur VMware vCenter Server (VCSA) et plus particulièrement à son VMware vSphere Client, vous devrez remplacer le certificat SSL de machine affiché en haut de la page.
Cliquez sur le lien "Afficher les détails" du certificat "__MACHINE_CERT".
Note : le bouton "Afficher les certificats dans une autre ..." présent en haut de la page est un bouton permettant de vous déconnecter de cette page pour retourner au formulaire présent sur l'image précédente.
Comme vous pouvez le voir, ce certificat "__MACHINE_CERT" est :
Par défaut, sous VMware vCenter Server (VCSA), vous trouverez une autorité de certification "VMCA" (VMware Certificate Authority) qui permet de gérer tous les certificats de votre infrastructure VMware vSphere (hôtes VMware ESXi, serveurs VMware vCenter Server (VCSA), ...).
Les certificats générés et les clés privées associées à ceux-ci émanent de cette autorité de certification "VMCA" utilisée en interne par votre infrastructure VMware vSphere. Toutes les données de votre autorité de certification VMCA (les certificats SSL de machine, les certificats de la solution, les certificats racines approuvés, les clés privées, ...) sont stockées dans le magasin de certificats VMware Endpoint (VMware Endpoint Certificate Store / VECS).
Etant donné que l'autorité de certification VMCA créée par défaut sur votre serveur VMware vCenter Server (VCSA) n'est pas une autorité de certification reconnue par tous les ordinateurs et serveur du monde entier, tous les certificats qui émanent de celle-ci sont considérés comme non valides (pas fiables). Excepté pour votre serveur VMware vCenter Server (VCSA) étant donné que le certificat de cette autorité de certification VMCA est présent dans la section "Certificats racines approuvés" de celui-ci.
Notez que le nom commun de cette autorité de certification VMCA visible dans la gestion des certificats de votre serveur est "CA" et non VMCA.
Pour en savoir plus sur le magasin de certificats VMware Endpoint (VECS), consultez la documentation officielle de VMware : Présentation du magasin de certificats VMware Endpoint.
Lorsque vous souhaitez sécuriser l'accès à votre serveur VMware vCenter Server (VCSA) et plus particulièrement son client web (VMware vSphere Client), vous avez plusieurs possibilités :
La 1ère possibilité pour sécuriser l'accès à votre infrastructure virtuelle VMware vSphere consiste à faire en sorte que l'autorité de certification VMCA (VMware Certificate Authority) VMware devienne une autorité de certification subordonnée (secondaire) de votre propre autorité de certification racine.
Etant donné que le nouveau certificat de cette autorité de certification VMCA émanera de votre propre autorité de certification, tous les certificats qu'elle génèrera seront considérés comme valides pour les ordinateurs et serveurs qui font déjà confiance à votre propre autorité de certification racine.
Néanmoins, cela signifie aussi qu'un administrateur mal intentionné de votre infrastructure virtuelle VMware vSphere pourrait aussi générer des certificats valides dans votre entreprise pour d'autres ordinateurs ou serveurs en dehors de votre infrastructure VMware vSphere.
Cette technique permet donc de simplifier fortement la gestion des certificats, mais peut poser des problèmes de sécurité.
Cette méthode est donc très rarement voire jamais utilisée.
Une infrastructure virtuelle VMware vSphere est toujours composée de plusieurs serveurs et principalement :
Si vous souhaitez utiliser des certificats personnalisés pour tous les composants de votre infrastructure VMware vSphere, vous devrez donc générer des certificats pour tous vos hôtes VMware ESXi, vos serveurs VMware vCenter Server (VCSA), mais aussi pour les solutions utilisées en interne par vCenter Server.
Ce qui peut vite devenir difficile à gérer, en fonction du nombre d'hôtes VMware ESXi et des serveurs VMware vCenter Server (VCSA) se trouvant dans votre infrastructure virtuelle VMware vSphere. D'autant plus que cela signifie aussi que vous devrez soumettre des dizaines voire des centaines de demandes de certificats (CSR) à votre propre autorité de certification.
Cette méthode est la plus sécurisée, mais comme indiqué précédemment, cela peut vite devenir ingérable en fonction de la taille de votre infrastructure virtuelle VMware vSphere. De plus, tous les certificats générés devront également être remplacés lorsque ceux-ci seront sur le point d'expirer.
Pour sécuriser au mieux votre infrastructure virtuelle VMware vSphere et faciliter la gestion de ses certificats, un nouveau modèle hybride est né avec VMware vSphere 6.0.
Comme vous le voir sur l'image ci-dessous, avec ce modèle hybride, vous utiliserez :
Cette méthode est la plus pratique, car elle vous permet de bénéficier de la sécurité tout en facilitant la gestion de vos certificats SSL.
C'est donc cette méthode que nous utiliserons dans ce tutoriel.
Si vous souhaitez obtenir plus d'informations concernant l'autorité de certification VMCA et les différentes méthodes de gestion de certificats sous VMware vSphere, référez-vous à la page "New Product Walkthrough – Hybrid vSphere SSL Certificate Replacement" du blog officiel de VMware.
VMware 22/6/2022
VMware 3/6/2022
VMware 13/9/2024
VMware 8/5/2024
Contenu épinglé
Contact
® InformatiWeb-Pro.net - InformatiWeb.net 2008-2022 - © Lionel Eppe - Tous droits réservés.
Toute reproduction totale ou partielle de ce site est interdite et constituerait une contrefaçon sanctionnée par les articles L.335-2 et suivants du Code de la propriété intellectuelle.
Vous devez être connecté pour pouvoir poster un commentaire