Sécuriser l'accès à VMware vCenter Server (VCSA) en HTTPS (via SSH) sous VMware vSphere 6.7

5. Demander un certificat auprès de votre autorité de certification sous Windows Server

Pour demander un certificat auprès de votre autorité de certification sous Windows Server, vous devez d'abord récupérer la demande de certificat créé sur votre serveur VMware vCenter Server (VCSA).

Pour cela, téléchargez le programme WinSCP et connectez-vous à votre serveur VCSA en utilisant le protocole SFTP.

Important : vous devez d'abord configurer WinSCP en vous référant à notre tutoriel "VMware vSphere 6.7 - Gérer fichiers de VCSA via WinSCP" pour pouvoir utiliser le protocole SFTP avec votre serveur VCSA.
En effet, par défaut, cela ne fonctionne pas et une erreur "Received unexpected packet in response to authentication request, ..." apparait.

Une fois WinSCP configuré correctement, la connexion via le protocole SFTP réussira et vous verrez le contenu de votre serveur VCSA apparaitre à droite.
Dans la partie droite de la fenêtre, rentrez dans le dossier "certs", puis sélectionnez le fichier "vmca_issued_csr.csr" et cliquez sur "Télécharger".

Note : vous pouvez aussi glisser ce fichier de la partie droite vers la partie gauche pour télécharger facilement ce fichier.

Une fenêtre "Télécharger" apparait.
Cliquez simplement sur OK en laissant les paramètres par défaut.

Votre demande de certificat "vmca_issued_csr.csr" apparait à gauche (sur votre ordinateur).

Si vous ouvrez ce fichier "vmca_issued_csr.csr" avec le bloc-notes, vous verrez qu'il s'agit d'un texte ressemblant à ceci :

Plain Text

-----BEGIN CERTIFICATE REQUEST-----
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx...
-----END CERTIFICATE REQUEST-----

Note : ce texte correspond à une demande de certificat codé en base 64.

Connectez-vous à l'interface web de votre autorité de certification et authentifiez-vous (si besoin) en tant qu'Administrateur (ou un utilisateur pouvant inscrire des certificats en utilisant le modèle de certificat "vSphere 6.x" créé précédemment).
Sur la page "Services de certificats Microsoft Active Directory -- [nom de votre autorité de certification]" qui s'affiche, cliquez sur le lien : Demander un certificat.

Ensuite, cliquez sur le lien : demande de certificat avancée.

Collez la demande de certificat du fichier contenu dans le fichier "vmca_issued_csr.csr" téléchargé précédemment dans la grande case "Base-64-encoded Requête de certificat (CMC ou PKCS #10 ou PKCS #7)", puis sélectionnez le modèle de certificat "vSphere 6.x" créé précédemment et cliquez sur Envoyer.

Une fois le certificat émis, sélectionnez "Codé en base 64" et cliquez sur : Télécharger la chaine de certificats.

Important : il est important de télécharger la chaine de certificats et non seulement le certificat.

Source : Replacing a vSphere 6.x /7.x Machine SSL certificate with a Custom Certificate Authority Signed Certificate (2112277).

Un fichier "certnew.p7b" sera proposé en téléchargement.

Dans notre cas, nous allons enregistrer ce fichier sous le nom : vcsa-cert-full-chain.p7b.

Le certificat téléchargé apparait. Faites un double clic sur celui-ci.

Comme vous pouvez le voir, ce fichier "vcsa-cert-full-chain.p7b" contient plusieurs certificats :

  • InformatiWeb CA : le certificat de votre autorité de certification
  • vcsa.informatiweb.lan : le certificat de votre serveur VCSA émis par votre autorité de certification

Exportez le certificat de votre autorité de certification en faisant un clic droit "Toutes les tâches -> Exporter" sur son nom.
En effet, vous en aurez besoin un peu plus tard lors du remplacement du certificat SSL Machine de votre serveur VCSA.

Sélectionnez "X.509 encodé en base 64 (*.cer)" pour obtenir le certificat au format PEM (demandé par VMware) et cliquez sur Suivant.

Cliquez sur "Parcourir" pour choisir où vous souhaitez exporter ce certificat, puis cliquez sur Suivant.
Dans notre cas, nous l'avons exporté dans notre dossier "Téléchargements" (Downloads) sous le nom : iw-root.ca.cer.

Si vous ouvrez ce certificat avec le bloc-notes, vous verrez qu'il s'agit d'un texte ressemblant à ceci :

Plain Text

-----BEGIN CERTIFICATE-----
xxxxxxxxxxxxxxxxxxxxxxxxxxxx...
-----END CERTIFICATE-----

Etant donné que VMware vCenter Server (VCSA) s'attend à un certificat au format ".cer" et non au format ".p7b", vous devrez d'abord convertir le certificat de VCSA téléchargé précédemment vers le format ".cer".
Pour cela, téléchargez OpenSSL et utilisez la commande suivante :

Bash

cd C:\OpenSSL
openssl pkcs7 -print_certs -in C:\Users\Administrateur\Downloads\vcsa-cert-full-chain.p7b -out C:\Users\Administrateur\Downloads\vcsa-cert-full-chain.cer

Si vous ouvrez le fichier "vcsa-cert-full-chain.cer" obtenu, vous verrez que celui-ci contient :

  • CN=vcsa.informatiweb.lan : le certificat de votre serveur VCSA
  • CN=InformatiWeb CA : le certificat de l'autorité de certification qui a émis le certificat pour votre serveur VCSA

Maintenant que vous possédez les certificats dont vous avez besoin, envoyez le certificat de votre autorité de certification (iw-root-ca.cer dans notre cas) et celui de votre serveur VCSA (vcsa-cert-full-chain.cer) dans le dossier "/certs" de votre serveur VCSA.
Pour cela, sélectionnez ces 2 fichiers ".cer" et cliquez sur "Envoyer".

Dans la fenêtre "Envoyer" qui apparait, cliquez simplement sur OK.

Les certificats envoyés apparaissent à droite.

A voir également

Commentaires

Pas de commentaire

Donnez-nous votre avis

Contenu épinglé

Contact

® InformatiWeb-Pro.net - InformatiWeb.net 2008-2022 - © Lionel Eppe - Tous droits réservés.

Toute reproduction totale ou partielle de ce site est interdite et constituerait une contrefaçon sanctionnée par les articles L.335-2 et suivants du Code de la propriété intellectuelle.