Par défaut, le serveur ESXi 5 de VMware est sécurisé via un certificat SSL auto-signé.
Cela permet de sécuriser la connexion au serveur ESXi, mais cela provoque aussi l'affichage d'un avertissement concernant son certificat, car il n'émane pas d'une autorité de certification de confiance.
Ce qui est normal, car le serveur l'a délivré à lui-même.
Pour que le certificat soit valide, il devra émaner :
VMware ESXi 5.0 (qui fait partie de la solution VMware vSphere 5.0) n'est plus supporté par VMware depuis août 2016.
Nous vous conseillons donc de passer à une version plus récente, telle que : VMware ESXi 6.7.
Pour sécuriser un hyperviseur VMware ESXi 6.7, référez-vous à notre tutoriel : VMware ESXi 6.7 - Sécuriser le serveur avec un certificat SSL.
Pour ce tutoriel, nous avons créé un contrôleur de domaine Active Directory et une autorité de certification un serveur sous Windows Server 2012.
Dans ce cas-ci, le serveur Active Directory nous permet de distribuer automatiquement le certificat de notre autorité de certification aux PC clients de notre réseau.
Ainsi, tous les PC de notre réseau reconnaissent notre autorité de certification comme une autorité de certification de confiance.
L'autorité de certification nous permettra de créer un certificat valide pour notre serveur ESXi 5.0.
Pour pouvoir sécuriser votre serveur ESXi avec un certificat SSL valide, il faut que votre serveur de virtualisation VMware ESXi ait un nom ou un nom de domaine.
Etant donné que nous avons un serveur Active Directory dans notre réseau, notre serveur ESXi fera partie de notre domaine "informatiweb.lan".
Pour commencer, connectez-vous à votre serveur ESXi grâce au VMware vSphere Client (lien direct de la version 5.0).
Pour le moment, un avertissement s'affiche, car le certificat est auto-signé et qu'il a été délivré à localhost.lan.
Etant donné que l'adresse ne correspond pas à celle utilisée lors de la connexion au serveur, cet avertissement s'affiche.
Pour le moment, cliquez sur "Ignorer".
Pour changer le nom de votre serveur ESXi, cliquez sur Inventaire, puis allez dans l'onglet "Configuration".
Ensuite, dans le menu de gauche, cliquez sur "DNS et routage".
Pour finir, dans la partie droite, cliquez sur le lien "Propriétés" situé en haut à droite.
Pour changer le nom de votre serveur, vous devez d'abord sélectionner l'option "Utiliser adresse serveur DNS suivante".
Etant donné que notre serveur fera partie de notre domaine "informatiweb.lan", nous indiquons ceci :
Etant donné que l'installation de notre serveur Active Directory a aussi provoqué l'installation d'un serveur DNS, nous en profitons pour le renseigner en tant que serveur DNS préféré.
Ensuite, nous indiquons l'adresse IP de notre routeur comme autre serveur DNS.
Pour finir, si votre serveur fait partie d'un domaine local, vous pouvez aussi rajouter votre nom de domaine local dans la case "Rechercher hôte dans les domaines suivants".
Maintenant, notre serveur est nommé : esxi5.informatiweb.lan
Pour que ce nom de domaine pointe sur votre serveur ESXi, vous devrez aussi créer un nouvel enregistrement de type A sur votre serveur DNS local.
Pour créer un certificat valide et adapté au serveur ESXi, vous aurez besoin de la configuration fournie par VMware :
Configuring OpenSSL for installation and configuration of CA signed certificates in the vSphere environment (2015387)
Téléchargez OpenSSL pour Windows et décompressez le fichier téléchargé.
Ensuite, copiez le contenu du dossier "bin" dans le dossier "C:\OpenSSL" (vous devez créer ce dossier).
Pour finir, créez un fichier "openssl.cfg" et collez ceci à l'intérieur.
Dans ce fichier, vous devrez modifier les informations de la section "req_distinguished_name", ainsi que les valeurs indiquées à la ligne "subjectAltName".
Notes :
- les informations à modifier sont en rouge sur le site de VMware.
- pour le code des pays, consultez la page "SSL Certificate Country Codes" du site de DigiCert.
Plain Text
[ req ] default_bits = 2048 default_keyfile = rui.key distinguished_name = req_distinguished_name encrypt_key = no prompt = no string_mask = nombstr req_extensions = v3_req [ v3_req ] basicConstraints = CA:FALSE keyUsage = digitalSignature, keyEncipherment, dataEncipherment extendedKeyUsage = serverAuth, clientAuth subjectAltName = DNS:esxi5, IP:10.0.0.5, DNS:esxi5.informatiweb.lan [ req_distinguished_name ] countryName = BE stateOrProvinceName = Luik localityName = Luik 0.organizationName = InformatiWeb organizationalUnitName = ESXiServers commonName = esxi5.informatiweb.lan
Pour créer la demande de certificat, ouvrez un invite de commandes puis déplacez-vous dans le dossier d'OpenSSL en tapant ceci :
Batch
cd C:\OpenSSL
Ensuite, créez la demande de certificat (CSR) en tapant cette commande :
Batch
openssl req -new -nodes -out rui.csr -keyout rui-orig.key -config openssl.cfg
Cela créera la demande de certificat dans un fichier "rui.csr" et une clé privée dans le fichier "rui-orig.key".
Plain Text
Generating a 2048 bit RSA private key ......................+++ ....+++ unable to write 'random state' writing new private key to 'rui-orig.key' -----
Comme demandé par VMware, convertissez la clé privée au format RSA en tapant cette commande :
Batch
openssl rsa -in rui-orig.key -out rui.key
Maintenant, vous trouverez 3 nouveaux fichiers dans le dossier d'OpenSSL :
Pour obtenir un certificat valide, vous devez envoyer la demande de certificat à une autorité de certification de confiance ou la soumettre à votre propre autorité de certification.
Dans notre cas, notre autorité de certification sous Windows Server est accessible à l'adresse : https://ad-server.informatiweb.lan/CertSrv
Une fois connecté avec le compte Administrateur du domaine, cliquez sur le lien "Demander un certificat".
Cliquez sur "demande de certificat avancée".
Ensuite, comme demandé par VMware, vous devrez soumettre votre demande de certificat en base 64.
Ouvrez le fichier "rui.csr" avec le bloc-notes et copiez son contenu (de la ligne -----BEGIN CERTIFICATE REQUEST----- à la ligne "-----END CERTIFICATE REQUEST----- comprise).
Ensuite, collez-le sur la page de demande de certificat de votre autorité de certification.
Sélectionnez "Serveur Web" pour le modèle de certificat et cliquez sur "Envoyer".
Confirmez l'opération de certificat numérique en cliquant sur Oui.
Sélectionnez "Codé en base 64" et cliquez sur "Télécharger le certificat" pour télécharger votre nouveau certificat numérique.
Enregistrez ce fichier où vous le souhaitez.
VMware 5/10/2022
VMware 22/6/2022
VMware 12/5/2023
VMware 16/11/2022
Contenu épinglé
Contact
® InformatiWeb-Pro.net - InformatiWeb.net 2008-2022 - © Lionel Eppe - Tous droits réservés.
Toute reproduction totale ou partielle de ce site est interdite et constituerait une contrefaçon sanctionnée par les articles L.335-2 et suivants du Code de la propriété intellectuelle.
Vous devez être connecté pour pouvoir poster un commentaire