VMware ESXi 5 - Sécurisation du serveur avec un certificat SSL valide

Page 2 / 3

4. Activation du protocole SSH sur le serveur ESXi

Maintenant que nous avons notre certificat SSL et sa clé privée, il reste à les transférer sur notre serveur de virtualisation ESXi et à configurer ESXi pour qu'il les prenne en compte.
Pour les transférer sur notre serveur, nous devons d'abord activer le service "SSH" pour pouvoir ensuite créer une connexion SFTP entre notre serveur ESXi et notre ordinateur.

Pour commencer, allez dans "Résumé" et cliquez sur "Passer en mode maintenance".

Cliquez sur Oui.

Ensuite, allez dans "Configuration -> Profil de sécurité" et cliquez sur le lien "Propriétés" situé en haut à droite.

Par défaut, le service SSH n'est pas démarré.
Sélectionnez-le et cliquez sur Options.

Cliquez sur Démarrer, puis sur OK.

Maintenant, le service SSH est en cours d'exécution.

5. Transfert du certificat et de la clé privée sur le serveur ESXi

Maintenant que le service SSH est démarré sur le serveur ESXi, nous pouvons créer une connexion SFTP entre le serveur et notre ordinateur pour gérer les fichiers du serveur ESXi.
Pour vous connecter en SFTP sur votre serveur ESXi, téléchargez et installez le programme WinSCP.

Lors la 1ère connexion à un serveur, WinSCP affiche toujours un avertissement, car il ne connait pas le serveur auquel vous vous connectez.
Ce qui est logique lorsque vous vous connectez à un serveur pour la 1ère fois.

Pour le moment, cliquez sur Non, car l'empreinte digitale changera en remplaçant le certificat SSL du serveur ESXi.

WinSCP se connecte à votre serveur ESXi.

Une fois connecté à votre serveur ESXi, vous vous trouverez à la racine du serveur ESXi.

Comme indiqué dans la documentation officielle de VMware, le certificat SSL et la clé privée du serveur ESXi se trouvent dans le dossier : /etc/vmware/ssl
Renommez le certificat "rui.crt" en "orig.rui.crt" et la clé privée "rui.key" en "orig.rui.key".

Ensuite, transférez votre nouveau certificat vers votre serveur ESXi en le glissant à droite.

Comme indiqué dans la documentation officielle de VMware, il est préférable d'utilisation le mode de transfert "Texte" ou "ASCII".
Pour changer le mode de transfert, cliquez sur "Type de transfer : Binaire".

Choisissez "Mode du transfert : Texte ..." et cliquez sur OK.

Cliquez sur OK pour transférer le fichier sur le serveur.

Transférez aussi la nouvelle clé privée "rui.key" du dossier "C:\OpenSSL" vers votre serveur ESXi.

6. Redémarrer les agents de gestion du serveur ESXi

Pour que ESXi utilise le nouveau certificat et la nouvelle clé, vous avez 2 possibilités :

  • redémarrer entièrement le serveur de virtualisation ESXi
  • redémarrer les agents de gestion du serveur pour que cela soit plus rapide

Dans ce tutoriel, nous allons utiliser la 2ème méthode qui est recommandée dans un environnement de production, même si elle parait plus longue.

Pour redémarrer les agents de gestion du serveur ESXi, vous devez avoir accès à la console ci-dessous.
Si vous avez accès à cette console, cliquez ici.

Néanmoins, si vous n'y avez pas accès physiquement, vous devrez utiliser un client SSH comme Putty.
Lancez Putty et connectez-vous à votre serveur ESXi sur le port 22 (SSH).

Ignorez l'avertissement qui s'affiche (pour la même raison que l'avertissement affiché par WinSCP).

Connectez-vous avec le compte root, puis tapez la commande : dcui.
DCUI permet d'accéder à la console d'ESXi depuis une connexion SSH : Accessing Direct Console User Interface (DCUI) from an SSH session (2039638)

La console d'ESXi s'affiche.
Appuyez sur la touche F2 pour accédez aux paramètres d'ESXi.

Connectez-vous à nouveau avec le compte root.

Allez dans : Troubleshooting Options.

Puis, sélectionnez l'option "Restart Management Agents" et appuyez sur Enter.

Confirmez le redémarrage des agents de gestion en appuyant sur F11.

Les agents de gestion ont été redémarrés.

Appuyez plusieurs fois sur la touche "Esc" pour retourner à l'écran d'accueil de cette console.
Puis, appuyez sur les touches CTRL + C pour retourner dans la ligne de commande de putty.

Pour quitter Putty, tapez "exit".

Pour finir, désactivez le mode maintenance du serveur ESXi en cliquant sur "Quitter le mode maintenance".