Certificats de sécurité

Pourquoi des certificats de sécurité?

Ils garantissent à la fois l’identité de l’éditeur et l’intégrité du contenu.

Maintenant avec tous les virus, ransomwares, il faut sécuriser tout votre environnement.

J’avoue cela peut être long, compliqué, car si on se trompe, on peut « caser » le vCenter ou l’ESXi mais avec quelques lectures, cela se fait.

Pour le vCenter, on ne doit pas plus voir ceci :

Pour la lecture,

Pré-requis :

  • Mdp root du vCenter
  • Autorité de certification

Connexion au vCenter en putty

Lancer la console de certificat

/usr/lib/vmware-vmca/bin/certificate-manager

  • Cliquez sur 1 et 1 (suivre les instructions pour générer votre certificat lié aux informations de votre société).
  • Récupérez le csr ( par winscp)
  • Sur votre PKI, en fenêtre Dos, lancez la commande suivante « certreq -submit -attrib « CertificateTemplate:WebServer » vmca_issued_csr.csr« 
  • Il faut récupérer votre certificat, ainsi que votre certificat « rootca » et les copier sur votre vCenter
  • Lancez votre console de certificat choix 1 et 2
    • Indiquez le chemin du certificat signé par votre PKI
    • Indiquez le chemin de votre clé fournit par votre VMCA
    • Indiquez le chemin de votre certificat rootCA

Maintenant, lorsque vous vous connectez sur votre vCenter

Pour les ESXi, on ne doit plus voir ceci :

Pré-requis :

  • Autorité de certification
  • Activer le SSH sur l’ESXi
  • Avoir WinSCP
  • Avoir OpenSSL

Dans l’arborescence du logiciel OpenSSL, vous avez un fichier openssl.cfg, il faut remplacer par :

[ req ]
default_bits = 2048
default_keyfile = rui.key
distinguished_name = req_distinguished_name
encrypt_key = no
prompt = no
string_mask = nombstr
req_extensions = v3_req

[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = digitalSignature, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth, clientAuth
subjectAltName = DNS:jiesx04, IP:192.168.0.58, DNS:jiesx04.jabs-it.fr

[ req_distinguished_name ]
countryName = FR
stateOrProvinceName = France
localityName = Choisy
0.organizationName = Jabs-it
organizationalUnitName = Jabs-it
commonName = jiesx04.jabs-it.fr

Tout ce qui est en vert, il faut le remplacer par vos informations

Dans une fenêtre dos

Générer la requête de certificat :

On convertit :

Génération du certificat :

Il faut copier les 2 fichiers « rui.crt » & « rui.key » dans l’ESXi dans l’arborescence /etc/vmware/ssl

Après, il faut relancer le service de management ou redémarrer

Maintenant, lorsque vous vous connectez sur l’ESXi :

Posted on: novembre 19, 2021, by :