VMware ESXi 6.5 - Installation, configuration et sécurisation du serveur avec un certificat SSL valide

Page 2 / 2

4. Modification du nom de domaine du serveur

Etant donné que nous avons un Active Directory et donc un nom de domaine local sur notre réseau, nous allons aussi indiquer notre nom de domaine dans les paramètres réseau de notre serveur ESXi.
Pour cela :

  • allez dans la section : TCP/IP stacks
  • sélectionnez la ligne : Default TCP/IP stack.
  • cliquez sur l'icône représentant un crayon.

Certaines informations sont déjà configurées, car nous les avions configurées depuis la console d'ESXi.
Néanmoins, nous allons rajouter notre nom de domaine dans les cases : Domain name et Search domains.

Maintenant, notre serveur s'appelle : esxi-6.informatiweb.lan

Pour pouvoir accéder à votre serveur ESXi via son nom de domaine, il faut bien évidemment ajouter un enregistrement dans votre serveur DNS local pour que nom de domaine "esxi-6.informatiweb.lan" pointe bien sur l'adresse IP de votre serveur ESXi.

Dans notre cas, notre serveur possède :

  • le nom de domaine : esxi-6.informatiweb.lan
  • l'adresse IP : 10.0.0.5

Note : l'enregistrement PTR permet de créer l'enregistrement inverse (IP vers nom de domaine) dans la zone de recherche inverse de votre serveur DNS.

5. Sécurisation du serveur ESXi avec un certificat SSL valide

Pour sécuriser votre serveur ESXi avec un certificat SSL, il vous suffira de générer la demande de certificat depuis le client web et de soumettre cette demande de certificat (CSR) à une autorité de certification (CA) de confiance.

Pour créer la demande de certificat, il suffit d'aller dans "Security & Users -> Certificates" et de cliquer sur "Import new certificate".

Cliquez sur "Generate FQDN signing request".

Votre serveur ESXi a créé la demande de certificat (CSR).
Notez que celle-ci a été encodée en base 64.

Cliquez sur "Copy to clipboard".

Si cette confirmation s'affiche, cliquez sur "Autoriser l'accès".

Ensuite, allez sur le site de l'autorité de certification souhaitée et collez cette demande de certificat.
Note : si vous possédez une autorité de certification sous Windows Server dans votre réseau, vous devrez aussi sélectionner le modèle de certificat "Serveur Web" avant de cliquer sur Envoyer.

Ensuite, téléchargez le certificat généré par l'autorité de certification utilisée.

Etant donné que nous avons utilisé une autorité de certification créée sous Windows Server, notre certificat est au format CER.

Pour pouvoir l'utiliser avec votre serveur ESXi (qui est basé sur la distribution Linux : Red Hat), vous devrez le convertir au format PEM (format Linux).
Pour cela, téléchargez OpenSSL pour Windows, puis décompressez le fichier téléchargé et copiez le contenu du dossier "bin" dans : C:\OpenSSL (que vous devrez créer au préalable)

Ensuite, ouvrez un invite de commandes (cmd) et tapez ceci :

Batch

cd c:\OpenSSL
openssl x509 -inform der -in C:\Users\InformatiUser\Downloads\certnew.cer -out C:\Users\InformatiUser\Downloads\certnew.pem

Note : "C:\Users\InformatiUser\Downloads" correspond au dossier "Téléchargements" de notre utilisateur "InformatiUser" où se trouve le certificat au format CER.

Une fois converti, vous aurez donc 2 certificats :

  • celui au format Windows en ".cer".
  • celui au format Linux en ".pem".

Pour importer le certificat sur votre serveur ESXi, vous devrez ouvrir le certificat PEM avec le bloc-notes.
A l'intérieur, vous trouverez du texte avec ces 2 lignes "-----BEGIN CERTIFICATE-----" et "-----END CERTIFICATE-----".

Copiez l'intégralité du texte dans le client web d'ESXi et cliquez sur "Import".

Maintenant, VMware ESXi reconnait votre nouveau certificat et vous affiche quelques informations :

  • le nom de l'autorité de certification ayant signé le certificat : InformatiWeb CA
  • le nom de domaine : informatiweb.lan (DC=informatiweb,DC=lan)
  • sa date de validité (début et fin)
  • le nom commun (CN) du certificat : esxi-6.informatiweb.lan. Ce qui signifie que le certificat est valable uniquement pour le nom de domaine "esxi-6.informatiweb.lan".

Pour que votre navigateur web n'affiche plus d'avertissement concernant le certificat, reconnectez-vous à votre serveur en utilisant le nom de domaine du serveur ESXi.
Dans notre cas : https://esxi-6.informatiweb.lan/

Comme vous pouvez le voir, le certificat a bien été signé par notre autorité de certification.
Si votre navigateur web considère que votre certificat n'émane pas d'une autorité de certification de confiance, vérifiez que l'autorité de certification utilisée fait bien partie des autorités de certification de confiance de Windows.
Si besoin, importez le certificat de l'autorité sur le PC client manuellement ou via les stratégies de groupe (requiert un Active Directory).

Maintenant, votre serveur VMware ESXi 6.5.0 est installé, configuré et sécurisé avec un certificat SSL.