¶ VMware vSphere : Operate, Scale and Secure
Lab 15 : Travailler avec les certificats
¶ Introduction
Ce Lab a pour objectif d'illustrer la documentation permettant de se préparer au passage de la certification VMWare Certified Professional - Data Center Virtualization v8 (2V0-21.23).
Plus précisément le chapitre 6 - Opérations vCenter et ESXi.
Cours Traité : Leçon 4 : Gestion des certificats VMware
Avant de commencer, je tiens à préciser qu'il est préférable d'avoir lu la documentation.
Avant de réaliser ce Lab j'ai dans un premier temps créé un environnement virtuel comprenant les éléments suivants :
- 1 vCenter : LAB-VCENTER-01.LAB.LOCAL
- 4 ESXi Nested : LAB-ESXI-01.LAB.LOCAL, LAB-ESXI-02.LAB.LOCAL, LAB-ESXI-03.LAB.LOCAL et LAB-ESXI-04.LAB.LOCAL.
- 1 Windows Server 2025 en version d'évaluation : LAB-AD-01LAB.LOCAL (Services AD + ADCS)
Pour reproduire les Lab , il est conseillé d'avoir à disposition un environnement équivalant.
Je vais partir du principe que vous possédez un Lab à disposition.
¶ Objectif et tâches
Générer et remplacer un certificat vCenter à l’aide du vSphere Client :
- Examiner le Machine SSL Certificate
- Générer une Certificate Signing Request
- Remplacer un Machine SSL Certificate avec un certificat CA pré-généré
¶ Tâche 1 : Examiner le Machine SSL Certificate
Vous examinez le vCenter Machine SSL Certificate en utilisant le vSphere Client.
- Connectez vous à vCenter en utilisant le compte Administrator@vsphere.local.
Le compte Administrator@vsphere.local est le compte utilisateur par défaut que l'on trouve sur vCenter après son installation.
Pour se connecter il faudra utiliser cette URL : https://<vCenter_FQDN_or_IP_Address>/ui.
Dans le cas de mon Lab ça sera donc soit "lab-vcenter-01.lab.local/ui" soit l'adresse IP de vCenter.
- Ouvrir un navigateur Web et se connecter à l'URL de vCenter
- Se connecter avec l'utilisateur Administrator@vsphere.local
- Depuis le menu principal, sélectionnez Administration
puis sélectionnez Certificate Management sous Certificates.
- Dans la partie de droite, cliquez sur Machine SSL puis sur les deux flèches pour afficher les détails.
NOTE : La capture d’écran suivante est un exemple. Les informations de votre certificat peuvent être différentes.
- Notez les informations suivantes du certificat pour une comparaison future.
- Valid from : 05/12/2025 00:20
- Valid until : 05/12/2027 12:20
- Thumbprint : 5F9C94B289109EC4ACXXXXXXXXXXXXXXXXXXXXXXXX
Chaque fois qu’un certificat est renouvelé, l’heure actuelle est définie comme Valid from, et l’heure Valid to est définie à 2 ans à partir de ce moment.
L’empreinte du certificat (thumbprint), également appelée cert hash, est unique et change à chaque certificat généré.
- Lorsque vous avez terminé la consultation des détails du Machine SSL Certificate, cliquez sur Trusted Root Certificates en haut de la page.
- En face du certificat VMCA_ROOT_CERT, cliquez sur les deux flèches pour afficher les détails.
¶ Question :
- Q1. Qui a émis le certificat ?
¶ Réponse :
- R1. Sous Issuer Information, le champ Issuer Name contient CA, ce qui indique que VMware CA a émis le certificat.
¶ Tâche 2 : Créer une Certificate Signing Request
Vous utilisez vSphere Certificate Manager pour créer une certificate signing request (CSR) que vous utiliserez pour demander un certificat personnalisé signé auprès de la certificate authority (CA) du contrôleur de domaine du Lab.
- Générez la CSR.
- Sous Machine SSL Certificate, cliquez sur Actions > Generate Certificate Signing Request (CSR).
- Saisissez les informations requises pour terminer la certificate signing request.
| Option | Action |
|---|---|
| Organization | Enter : LAB |
| Organization Unit | Enter : LAB |
| Country | Select : France |
| State/Province | Enter : Maine Et Loire |
| Locality | Enter : Angers |
| Email Address | Enter : cert.admin@vmware.com |
- Lorsque vous avez terminé, cliquez sur NEXT.
- Cliquez sur FINISH pour fermer l’assistant.
Générer la vCenter CSR dans cette tâche est uniquement à des fins de test. Vous utiliserez des certificats pré-signés pour importer et remplacer le Machine SSL Certificate sur vCenter dans la prochaine tâche.
Si vous n'avez pas de certificats sous la main dans ce cas AVANT de fermer la fenêtre, cliquer sur TELECHARGER pour enregistrer le csr à fin de générer un certificat à l'aide de la certificate authority (CA) du contrôleur de domaine du Lab.
¶ Tâche 3 : Remplacer un Machine SSL Certificate avec un certificat CA pré-généré
Vous importez et remplacez le certificat auto-signé VMware CA par un certificat signé par une CA externe en utilisant le vSphere Client.
Avant de commencer faites un Backup ou un Snapshot de vCenter
- Depuis le menu principal, sélectionnez Administration, puis sélectionnez Certificate Management sous Certificates.
- Importer et remplacer le certificat auto-signé.
- Sous la tuile Machine SSL Certificate, sélectionnez Actions > Import and Replace Certificate.
L’assistant Replace Certificate démarre.
- Sur la page Choose type of certificate to replace, sélectionnez Replace with external CA certificate where CSR is generated from vCenter Server (private key embedded).
-
Cliquez sur NEXT.
-
Dans la zone de texte Machine SSL Certificate, cliquez sur BROWSE FILE.
Sélectionnez le certificat pour vCenter qui a été généré par la certificate authority (CA) du contrôleur de domaine du Lab.
- Dans la zone Chain of trusted root certificates, cliquez sur BROWSE FILE.
Sélectionnez le certificat root de la certificate authority (CA) du contrôleur de domaine du Lab.
-
Cliquez sur NEXT.
-
Sur la page System Backup, cocher la case I have backed up vCenter Server and its associated databases.
- Vérifier les paramètres sur la page Review puis cliquez sur FINISH
- Le remplacement du certificat commence.
Vous devriez voir des pop-up apparaître et disparaître sur la droite.
- Lorsque le processus d’importation du nouveau certificat signé par la CA sera terminé, vous devriez voir un message de confirmation. L'importation se fait en quelques secondes.
- Si tout s'est bien passé peu de temps après la fin du processus d’importation, une boîte de dialogue apparaît pour actualiser la page Web du navigateur avec le nouveau certificat.
Si vous souhaitez utiliser un certificat qui n'aurai pas été généré depuis une demande csr via vCenter, il faudra suivre les mêmes étapes mais sélectionner Replace with external CA certificate(requires private key) et être en possession de la Private Key.
- Effacer le cache web du navigateur Web
Si après l'actualisation de la page Web de votre navigateur vous ne parvenez pas à vous reconnecter à vCeter, il faudra alors vider le cache Web du navigateur.
- Vérifier le remplacement du certificat.
- Depuis le menu principal, sélectionnez Administration, puis sélectionnez Certificate Management sous Certificates.
- Sous la tuile Machine SSL Certificate, sélectionnez les deux flèches pour voir les détails.
- Comparez les dates de validité et l’empreinte (thumbprint) avec les informations du certificat collectées lors d’une tâche précédente.
- Valid from : 06/12/2025 00:58
- Valid until : 06/12/2027 00:58
- Thumbprint : 28FFDA29075DC792XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
-
Comparez également l'éméteur du certificat.
-
Avant changement du certificat
Issued by : CA -
Après changement du certificat
Issued by : LAB-LAB-AD-01-CA
-
Lab précédent : Lab 14 : Utilisation des profils de configuration vSphere
Lab suivant : Lab 16 : Surveillance des performances des machines virtuelles