Lorsque vous installez l’hyperviseur VMware ESXi par défaut, vous accédez à l’ensemble de la configuration de votre serveur directement via une interface web via votre navigateur Internet préféré.
Introduction
Dans les versions préalables à la version 6, nous pouvions utiliser un véritable logiciel que vous avez probablement connu : vSphere Client. Mais il n’est plus développé et ne fonctionne pas sur les versions les plus récentes de ESXi. En fait, cela devient même compliqué de le trouver car l’éditeur souhaite vraiment que nous ne l’utilisions plus. Mais peut-être que la capture d’écran ci-dessous vous évoquera quelques souvenirs :
Désormais, tout se passe dans un banal navigateur Internet. Problème, lorsque vous installez votre ESXi la première fois l’accès se fait en https mais la page ne dispose d’aucun certificat valide ! C’est évidemment à nous de mettre le certificat en place et c’est ce que nous allons décrire dans cet article.
Génération de notre CSR
Dans un premier temps, nous devons créer notre demande de signature de certificat ou en anglais Certificate Signing Request (CSR). Le plus souvent, cela s’effectue en ligne de commande mais il se trouve que l’interface graphique de ESXi permet de le faire très simplement.
Dans la partie Manage, allez dans Security & users puis dans Certificates.
Cliquez sur Import new certificate.
Dans la fenêtre qui apparaît, cliquez sur le bouton Generate FQDN signing request. C’est ce qui va nous permettre de générer notre demande de certificat CSR.
Pour rappel : dans une infrastructure PKI, une demande de signature de certificat est un message envoyé à partir d’un demandeur à une autorité de certification afin de demander un certificat d’identité numérique.
Une fois que c’est fait, il ne vous reste plus qu’à copier-coller le contenu affiché à l’écran pour le fournisseur qui va vous générer votre certificat SSL (ou votre PKI personnelle – selon votre cas).
Génération de notre certificat
De mon côté, je vais utiliser DigiCert mais vous pourriez utiliser n’importe quel autre fournisseur de certificat selon le prix que vous souhaitez mettre et/ou le niveau de sécurité attendu. Une fois connecté, je créé une nouvelle demande de certificat et je copie colle mon CSR. Le nom de mon serveur va être détecté automatiquement.
Il ne vous reste alors plus qu’à choisir la configuration de votre certificat : doit-il être renouvelé automatiquement chaque année, où les fichiers doivent être envoyés, etc. Les éléments de configuration seront différents d’un fournisseur à l’autre. Vous n’aurez donc pas exactement le même aperçu que moi.
Une fois que votre certificat est généré vous allez pouvoir le télécharger. Selon les options proposées par votre fournisseur de certificat, je vous recommande d’utiliser une option similaire à celle ci-dessous : A single .pem file containing all the certificates. Vous verrez que ce choix va nous simplifier la vie dans les étapes qui vont suivre. 🙃
Ajout de notre certificat SSL à notre interface web ESXi
Notre certificat est désormais prêt. Il ne nous reste plus qu’à le charger. Pour ce faire, récupérez le fichier .PEM que vous avez téléchargé à l’étape précédente et ouvrez-le avec votre éditeur de fichier texte favoris.
Retournez maintenant dans l’interface de ESXi au même emplacement que dans la première étape : Manage, allez dans Security & users puis dans Certificates. Sauf que cette fois-ci vous allez cliquer sur l’option à droite :
Dans l’espace blanc vide en dessous, vous pouvez coller tout le contenu de votre fichier .PEM et cliquer sur le bouton Import. Cela aura pour objectif de charger votre certificat, les infos de l’autorité racine et tout ce dont vous avez besoin en 1 seul clic. 😊
Si vous avez tout bien suivi, vous devriez avoir un message tout en haut qui vous confirme vos actions : Certificate successfully updated, you should refresh your browser.
Voilà, c’est terminé. 👌
Alors oui, vous pouvez faire tout ça en CLI mais vraiment je ne vois pas pourquoi se prendre la tête quand on voit à quel point l’interface graphique de ESXi est simple pour cette partie certificat.
Il ne vous reste plus qu’à vérifier dans votre navigateur Internet préféré que c’est bon. 😉