VxRail : Mise à jour de Dell VxRail avec des certificats personnalisés

vSphere utilise des certificats pour :

• Chiffrer les communications entre deux nœuds, tels que vCenter Server et un hôte ESXi.
• Authentifier les services vSphere.
• Effectuer des actions internes comme la signature de jetons.

L’autorité de certification interne de vSphere, VMware Certificate Authority (VMCA), fournit tous les certificats nécessaires pour vCenter Server et ESXi. VMCA est installé sur chaque Platform Services Controller, ce qui sécurise immédiatement la solution sans aucune autre modification. Le maintien de cette configuration par défaut permet de réduire au minimum les frais d’exploitation liés à la gestion des certificats. vSphere fournit un mécanisme de renouvellement de ces certificats en cas d’expiration.

vSphere fournit également un mécanisme par lequel vous pouvez remplacer certains certificats par vos propres certificats. Toutefois, il est conseillé de remplacer uniquement le certificat SSL qui assure le chiffrement entre les nœuds, afin de réduire les frais de gestion des certificats.

Intégration de certificat personnalisé

L’environnement vSphere est flexible afin de donner aux clients la possibilité de travailler avec des certificats SSL personnalisés, comme l’exigent parfois les politiques de leur société. Les étapes suivantes vous guident tout au long de la modification des certificats pour divers composants dans un environnement VxRail.

1. Remplacement du certificat auto-signé de VxRail Manager
   • Le certificat peut être remplacé à l’aide du plugin VxRail Manager : Dans vSphere, sélectionnez l’option Configure > Security > Certificate au niveau >du cluster. Pour obtenir des conseils sur la création de la requête de signature de certificat et la modification des fichiers de certificat reçus, reportez-vous à l’article de la base de connaissances VxRail : demande de nouveau certificat pour VxRail Manager.
2. Remplacement des certificats vCenter Server à l’aide d’un certificat signé par une autorité de certification personnalisée
   • Suivez le guide disponible sur le site de VMware : Génération des demandes de signature de certificat avec vSphere Certificate Manager (certificats personnalisés).
   • Pour une présentation plus complète du processus de remplacement de certificat à l’aide de Certificate Manager, voir l’article de la base de connaissances VMware Remplacement d’un certificat SSL de machine vSphere 6.x/7.x par un certificat signé par une autorité de certification personnalisée (2112277).
   • Pour illustrer la génération d’un certificat signé personnalisé à l’aide de PSC, voir l’article de la base de connaissances Dell VxRail : génération de CSR (demande de signature de certificat) et de clés privées sur PSC.
3. Rétablissement manuel de la confiance entre VxRail Manager et vCenter Server après l’intégration d’un certificat personnalisé
   • Lors du remplacement des certificats vCenter Server, les nouveaux certificats doivent être mis à jour manuellement sur la machine virtuelle VxRail Manager pour rétablir la confiance entre les deux entités. Pour ce faire, suivez l’article de la base de connaissances VxRail : importation manuelle d’un certificat SSL vCenter dans VxRail Manager.
4. Remplacement des certificats SSL de l’hôte ESXi
   • Les conditions requises pour les demandes de signature de certificat ESXi sont disponibles sur VMware sur vSphere Certificate Requirements pour différents chemins de solution.
   • Pour basculer vers l’utilisation de certificats personnalisés sur les hôtes ESXi dans un environnement vSAN, suivez l’article de la base de connaissances VMware Ajout d’un certificat personnalisé sur les hôtes ESXi via l’interface de ligne de commande (56441). Il est toujours préférable d’effectuer une sauvegarde des anciens certificats ESXi en dehors de l’hôte (à l’aide de clients tels que WinSCP par exemple) pour pouvoir revenir en arrière en cas de problèmes au cours du processus de remplacement.
5. Remplacement des certificats vRealize Log Insight
   • Suivez le guide disponible à l’adresse : https://docs.vmware.com/en/vRealize-Log-Insight/4.5/com.vmware.log-insight.administration.doc/GUID-93E0A9FA-9C72-47AE-9E54-9982F4604FE1.html.

Si vous rencontrez des problèmes lors du remplacement du certificat, contactez le support Dell pour obtenir de l’aide.