Mise à jour de Dell VxRail avec des certificats personnalisés (corrigible par le client)
Summary: Instructions étape par étape pour remplacer des certificats par des certificats client pour les environnements Dell VxRail. Afin d’assurer la sécurité, vSphere utilise des certificats pour chiffrer les communications, authentifier les services et signer des jetons. ...
Instructions
vSphere utilise des certificats pour :
- Chiffrer les communications entre deux nœuds, tels que vCenter Server et un hôte ESXi.
- Authentifier les services vSphere.
- Effectuer des actions internes comme la signature de jetons.
L’autorité de certification interne de vSphere, VMware Certificate Authority (VMCA), fournit tous les certificats nécessaires pour vCenter Server et ESXi. VMCA est installé sur chaque Platform Services Controller, ce qui sécurise immédiatement la solution sans aucune autre modification. Le maintien de cette configuration par défaut permet de réduire au minimum les frais d’exploitation liés à la gestion des certificats. vSphere fournit un mécanisme de renouvellement de ces certificats en cas d’expiration.
vSphere fournit également un mécanisme par lequel vous pouvez remplacer certains certificats par vos propres certificats. Toutefois, il est conseillé de remplacer uniquement le certificat SSL qui assure le chiffrement entre les nœuds, afin de réduire les frais de gestion des certificats.
Intégration de certificat personnalisé
L’environnement vSphere est flexible afin de donner aux clients la possibilité de travailler avec des certificats SSL personnalisés, comme l’exigent parfois les politiques de leur société. Les étapes suivantes vous guident tout au long de la modification des certificats pour divers composants dans un environnement VxRail.
- Remplacement du certificat auto-signé de VxRail Manager
- Cette procédure est accessible sur le portail SolVe Online. Accédez à ‘How To’ Procedures > ‘How To’ Change other VxRail Cluster settings > Choisissez votre version actuelle de VxRail Manager > Replace the VxRail Manager SSL Certificate, puis générez la procédure. Si vous n’avez pas accès à ce portail, contactez le support Dell. Pour obtenir des conseils sur la création de la demande de signature de certificat et la modification des fichiers de certificat reçus, voir l’article de la base de connaissances VxRail : demande de nouveau certificat pour VxRail Manager.
- Remplacement des certificats vCenter Server à l’aide d’un certificat signé par une autorité de certification personnalisée
- Suivez le guide disponible sur le site de VMware : Génération des demandes de signature de certificat avec vSphere Certificate Manager (certificats personnalisés)
.
- Pour une présentation plus complète du processus de remplacement de certificat à l’aide de Certificate Manager, voir l’article de la base de connaissances VMware Remplacement d’un certificat SSL de machine vSphere 6.x/7.x par un certificat signé par une autorité de certification personnalisée (2112277)
- Pour illustrer la génération d’un certificat signé personnalisé à l’aide de PSC, voir l’article de la base de connaissances Dell VxRail : génération de CSR (demande de signature de certificat) et de clés privées sur PSC.
- Suivez le guide disponible sur le site de VMware : Génération des demandes de signature de certificat avec vSphere Certificate Manager (certificats personnalisés)
- Rétablissement manuel de la confiance entre VxRail Manager et vCenter Server après l’intégration d’un certificat personnalisé
- Lors du remplacement des certificats vCenter Server, les nouveaux certificats doivent être mis à jour manuellement sur la machine virtuelle VxRail Manager pour rétablir la confiance entre les deux entités. Pour ce faire, suivez l’article de la base de connaissances VxRail : importation manuelle d’un certificat SSL vCenter dans VxRail Manager.
- Remplacement des certificats SSL de l’hôte ESXi
- Les conditions requises pour les demandes de signature de certificat ESXi sont disponibles sur le site de VMware à l’adresse : https://docs.vmware.com/en/VMware-vSphere/6.7/com.vmware.vsphere.security.doc/GUID-0AE0B563-59D6-45A5-BF46-6FE68607687B.html
- Pour basculer vers l’utilisation de certificats personnalisés sur les hôtes ESXi dans un environnement vSAN, suivez l’article de la base de connaissances VMware Ajout d’un certificat personnalisé sur les hôtes ESXi via l’interface de ligne de commande (56441).
- Les conditions requises pour les demandes de signature de certificat ESXi sont disponibles sur le site de VMware à l’adresse : https://docs.vmware.com/en/VMware-vSphere/6.7/com.vmware.vsphere.security.doc/GUID-0AE0B563-59D6-45A5-BF46-6FE68607687B.html
- Remplacement des certificats vRealize Log Insight
- Suivez le guide disponible à l’adresse : https://docs.vmware.com/en/vRealize-Log-Insight/4.5/com.vmware.log-insight.administration.doc/GUID-93E0A9FA-9C72-47AE-9E54-9982F4604FE1.html
- Suivez le guide disponible à l’adresse : https://docs.vmware.com/en/vRealize-Log-Insight/4.5/com.vmware.log-insight.administration.doc/GUID-93E0A9FA-9C72-47AE-9E54-9982F4604FE1.html
Remarque : La génération de demandes de signature de certificats (CSR) à l’aide d’outils tiers ou leur signature à l’aide de l’autorité de certification interne de l’entreprise ne sont pas prises en charge par le support Dell.
Si vous rencontrez des problèmes lors du remplacement du certificat, contactez le support Dell pour obtenir de l’aide.
Additional Information
Ressources connexes
Voici quelques ressources recommandées sur ce sujet qui peuvent vous intéresser :
Voici quelques ressources recommandées sur ce sujet qui peuvent vous intéresser :