VMware ESXi 5 - Sécurisation du serveur avec un certificat SSL valide

Page 1 / 3
  • Publié le : 05 août 2017 à 14:04
  • Par Lionel Eppe

Par défaut, le serveur ESXi 5 de VMware est sécurisé via un certificat SSL auto-signé.
Cela permet de sécuriser la connexion au serveur ESXi, mais cela provoque aussi l'affichage d'un avertissement concernant son certificat, car il n'émane pas d'une autorité de certification de confiance.
Ce qui est normal, car le serveur l'a délivré à lui même.

Pour que le certificat soit valide, il devra émaner :

  • d'une autorité de certification connue comme : GeoTrust, Symantec SSL, ...
  • de votre autorité de certification créée sous Windows Server ou sous Linux.
    Attention : cela nécessite une configuration sur les postes clients. Si les postes clients sont liés à l'Active Directory, alors suivez ceci.
  1. Configuration utilisée
  2. Configuration du nom de domaine
  3. Création de la demande de certificat, du certificat et de sa clé privée
  4. Activation du protocole SSH sur le serveur ESXi
  5. Transfert du certificat et de la clé privée sur le serveur ESXi
  6. Redémarrer les agents de gestion du serveur ESXi
  7. Désactivation du protocole SSH sur le serveur ESXi
  8. Test de la connexion sécurisée

1. Configuration utilisée

Pour ce tutoriel, nous avons créer un serveur Active Directory et une autorité de certification un serveur sous Windows Server 2012.

Dans ce cas-ci, le serveur Active Directory nous permet de distribuer automatiquement le certificat de notre autorité de certification aux PC clients de notre réseau.
Ainsi, tous les PC de notre réseau reconnaissent notre autorité de certification comme une autorité de certification de confiance.

L'autorité de certification nous permettra de créer un certificat valide pour notre serveur ESXi 5.0.

2. Configuration du nom de domaine

Pour pouvoir sécuriser votre serveur ESXi avec un certificat SSL valide, il faut que votre serveur de virtualisation VMware ESXi ait un nom ou un nom de domaine.
Etant donné que nous avons un serveur Active Directory dans notre réseau, notre serveur ESXi fera partie de notre domaine "informatiweb.lan".

Pour commencer, connectez-vous à votre serveur ESXi grâce au VMware vSphere Client (lien direct de la version 5.0).

Pour le moment, un avertissement s'affiche, car le certificat est auto-signé et qu'il a été délivré à localhost.lan.
Etant donné que l'adresse ne correspond pas à celle utilisée lors de la connexion au serveur, cet avertissement s'affiche.
Pour le moment, cliquez sur "Ignorer".

Pour changer le nom de votre serveur ESXi, cliquez sur Inventaire, puis allez dans l'onglet "Configuration".
Ensuite, dans le menu de gauche, cliquez sur "DNS et routage".
Pour finir, dans la partie droite, cliquez sur le lien "Propriétés" situé en haut à droite.

Pour changer le nom de votre serveur, vous devez d'abord sélectionner l'option "Utiliser adresse serveur DNS suivante".

Etant donné que notre serveur fera partie de notre domaine "informatiweb.lan", nous indiquons ceci :

  • Nom : esxi5
  • Domaine : informatiweb.lan

Etant donné que l'installation de notre serveur Active Directory a aussi provoqué l'installation d'un serveur DNS, nous en profitons pour le renseigner en tant que serveur DNS préféré.
Ensuite, nous indiquons l'adresse IP de notre routeur comme autre serveur DNS.

Pour finir, si votre serveur fait partie d'un domaine local, vous pouvez aussi rajouter votre nom de domaine local dans la case "Rechercher hôte dans les domaines suivants".

Maintenant, notre serveur est nommé : esxi5.informatiweb.lan

Pour que ce nom de domaine pointe sur votre serveur ESXi, vous devrez aussi créer un nouvel enregistrement de type A sur votre serveur DNS local.

3. Création de la demande de certificat, du certificat et de sa clé privée

Pour créer un certificat valide et adapté au serveur ESXi, vous aurez besoin de la configuration fournie par VMware :
Configuring OpenSSL for installation and configuration of CA signed certificates in the vSphere environment (2015387)

Téléchargez OpenSSL pour Windows et décompressez le fichier téléchargé.
Ensuite, copiez le contenu du dossier "bin" dans le dossier "C:\OpenSSL" (vous devez créer ce dossier).

Pour finir, créez un fichier "openssl.cfg" et collez ceci à l'intérieur.
Dans ce fichier, vous devrez modifier les informations de la section "req_distinguished_name", ainsi que les valeurs indiquées à la ligne "subjectAltName".
Notes :
- les informations à modifier sont en rouges sur le site de VMware.
- pour le code des pays, consultez la page "SSL Certificate Country Codes" du site de DigiCert.

Code : Plain Text

[ req ]
default_bits = 2048
default_keyfile = rui.key
distinguished_name = req_distinguished_name
encrypt_key = no
prompt = no
string_mask = nombstr
req_extensions = v3_req

[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = digitalSignature, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth, clientAuth
subjectAltName = DNS:esxi5, IP:10.0.0.5, DNS:esxi5.informatiweb.lan

[ req_distinguished_name ]
countryName = BE
stateOrProvinceName = Luik
localityName = Luik
0.organizationName = InformatiWeb
organizationalUnitName = ESXiServers
commonName = esxi5.informatiweb.lan

Pour créer la demande de certificat, ouvrez un invite de commandes puis déplacez-vous dans le dossier d'OpenSSL en tapant ceci :

Code : Batch

cd C:\OpenSSL

Ensuite, créez la demande de certificat (CSR) en tapant cette commande :

Code : Batch

openssl req -new -nodes -out rui.csr -keyout rui-orig.key -config openssl.cfg

Cela créera la demande de certificat dans un fichier "rui.csr" et une clé privée dans le fichier "rui-orig.key".

Code : Plain Text

Generating a 2048 bit RSA private key
......................+++
....+++
unable to write 'random state'
writing new private key to 'rui-orig.key'
-----

Comme demandé par VMware, convertissez la clé privée au format RSA en tapant cette commande :

Code : Batch

openssl rsa -in rui-orig.key -out rui.key

Maintenant, vous trouverez 3 nouveaux fichiers dans le dossier d'OpenSSL :

  1. rui.csr : la demande de certificat (Certificate Signing Request).
  2. rui.key : la clé privée au format RSA.
  3. rui-orig.key : la clé privée générée au départ.

Pour obtenir un certificat valide, vous devez envoyer la demande de certificat à une autorité de certification de confiance ou la soumettre à votre propre autorité de certification.
Dans notre cas, notre autorité de certification sous Windows Server est accessible à l'adresse : https://ad-server.informatiweb.lan/CertSrv

Une fois connecté avec le compte Administrateur du domaine, cliquez sur le lien "Demander un certificat".

Cliquez sur "demande de certificat avancée".

Ensuite, comme demandé par VMware, vous devrez soumettre votre demande de certificat en base 64.

Ouvrez le fichier "rui.csr" avec le bloc-notes et copiez son contenu (de la ligne -----BEGIN CERTIFICATE REQUEST----- à la ligne "-----END CERTIFICATE REQUEST----- comprise).

Ensuite, collez-le sur la page de demande de certificat de votre autorité de certification.
Sélectionnez "Serveur Web" pour le modèle de certificat et cliquez sur "Envoyer".

Confirmez l'opération de certificat numérique en cliquant sur Oui.

Sélectionnez "Codé en base 64" et cliquez sur "Télécharger le certificat" pour télécharger votre nouveau certificat numérique.

Enregistrez ce fichier où vous le souhaitez.