VMware

Installer un certificat https à VMware ESXi

Lorsque vous installez l’hyperviseur VMware ESXi par défaut, vous accédez à l’ensemble de la configuration de votre serveur directement via une interface web via votre navigateur Internet préféré.

Introduction

Dans les versions préalables à la version 6, nous pouvions utiliser un véritable logiciel que vous avez probablement connu : vSphere Client. Mais il n’est plus développé et ne fonctionne pas sur les versions les plus récentes de ESXi. En fait, cela devient même compliqué de le trouver car l’éditeur souhaite vraiment que nous ne l’utilisions plus. Mais peut-être que la capture d’écran ci-dessous vous évoquera quelques souvenirs :

Aperçu de l’ancienne interface du vSPhere Client de VMware ESXi

Désormais, tout se passe dans un banal navigateur Internet. Problème, lorsque vous installez votre ESXi la première fois l’accès se fait en https mais la page ne dispose d’aucun certificat valide ! C’est évidemment à nous de mettre le certificat en place et c’est ce que nous allons décrire dans cet article.

(Ads)

Génération de notre CSR

Dans un premier temps, nous devons créer notre demande de signature de certificat ou en anglais Certificate Signing Request (CSR). Le plus souvent, cela s’effectue en ligne de commande mais il se trouve que l’interface graphique de ESXi permet de le faire très simplement.

Dans la partie Manage, allez dans Security & users puis dans Certificates.

Cliquez sur Import new certificate.

Dans la fenêtre qui apparaît, cliquez sur le bouton Generate FQDN signing request. C’est ce qui va nous permettre de générer notre demande de certificat CSR.

Pour rappel : dans une infrastructure PKI, une demande de signature de certificat est un message envoyé à partir d’un demandeur à une autorité de certification afin de demander un certificat d’identité numérique.

Attention : pour que cela fonctionne correctement vous devez avoir renommé votre serveur avec un véritable nom et un domaine qui soit routable sur Internet : monserveur.domaine.tld. Vous ne pouvez donc pas conserver le nom tel qu’il aura été généré par votre fournisseur – à priori.

Une fois que c’est fait, il ne vous reste plus qu’à copier-coller le contenu affiché à l’écran pour le fournisseur qui va vous générer votre certificat SSL (ou votre PKI personnelle – selon votre cas).

Copier le contenu de notre CSR
(Ads)

Génération de notre certificat

De mon côté, je vais utiliser DigiCert mais vous pourriez utiliser n’importe quel autre fournisseur de certificat selon le prix que vous souhaitez mettre et/ou le niveau de sécurité attendu. Une fois connecté, je créé une nouvelle demande de certificat et je copie colle mon CSR. Le nom de mon serveur va être détecté automatiquement.

Il ne vous reste alors plus qu’à choisir la configuration de votre certificat : doit-il être renouvelé automatiquement chaque année, où les fichiers doivent être envoyés, etc. Les éléments de configuration seront différents d’un fournisseur à l’autre. Vous n’aurez donc pas exactement le même aperçu que moi.

Une fois que votre certificat est généré vous allez pouvoir le télécharger. Selon les options proposées par votre fournisseur de certificat, je vous recommande d’utiliser une option similaire à celle ci-dessous : A single .pem file containing all the certificates. Vous verrez que ce choix va nous simplifier la vie dans les étapes qui vont suivre. 🙃

Téléchargement de notre certificat
(Ads)

Ajout de notre certificat SSL à notre interface web ESXi

Notre certificat est désormais prêt. Il ne nous reste plus qu’à le charger. Pour ce faire, récupérez le fichier .PEM que vous avez téléchargé à l’étape précédente et ouvrez-le avec votre éditeur de fichier texte favoris.

Retournez maintenant dans l’interface de ESXi au même emplacement que dans la première étape : Manage, allez dans Security & users puis dans Certificates. Sauf que cette fois-ci vous allez cliquer sur l’option à droite :

Insérer notre certificat

Dans l’espace blanc vide en dessous, vous pouvez coller tout le contenu de votre fichier .PEM et cliquer sur le bouton Import. Cela aura pour objectif de charger votre certificat, les infos de l’autorité racine et tout ce dont vous avez besoin en 1 seul clic. 😊

Si vous avez tout bien suivi, vous devriez avoir un message tout en haut qui vous confirme vos actions : Certificate successfully updated, you should refresh your browser.

Confirmation de l’import de notre certificat

Voilà, c’est terminé. 👌

(Ads)

Alors oui, vous pouvez faire tout ça en CLI mais vraiment je ne vois pas pourquoi se prendre la tête quand on voit à quel point l’interface graphique de ESXi est simple pour cette partie certificat.

Confirmation que notre page est désormais sécurisée

Il ne vous reste plus qu’à vérifier dans votre navigateur Internet préféré que c’est bon. 😉

Share
Published by
thibault

Recent Posts

OneDrive : Quand Microsoft Verrouille un Compte, 30 Ans de Fichiers Perdus

OneDrive : Quand Microsoft Verrouille un Compte, 30 Ans de Fichiers Personnels Perdus OneDrive, le…

14 heures ago

Télétravail : La Société Générale Réduit à 1 Jour par Semaine, une Tendance IT ?

Télétravail : La Société Générale Réduit à 1 Jour par Semaine, une Tendance IT ?…

4 jours ago

Lyon et la Souveraineté Technologique : Pourquoi les Écologistes Abandonnent Microsoft

Lyon et la Souveraineté Technologique : Pourquoi les Écologistes Abandonnent Microsoft Lyon, célèbre pour sa…

4 jours ago

Automatiser la création d’articles dans WordPress avec ChatGPT et Zapier

Automatiser la création d’articles dans WordPress avec ChatGPT et Zapier Aujourd'hui les innovations autour de…

5 jours ago

Microsoft et le Sovereign Cloud : 5 Efforts pour l’Europe

Microsoft et le Sovereign Cloud : 5 Efforts pour l'Europe Dans un contexte européen complexe,…

6 jours ago

Les Jouets Connectés à l’IA : Une Révolution ou une Inquiétude pour nos Enfants ?

Les Jouets Connectés à l'IA : Une Révolution ou une Inquiétude pour nos Enfants ?…

7 jours ago