layout: doc—

Installez un certificat TLS sur votre serveur

Remarque :

XenCenter YYYY.x.x n’est pas encore pris en charge pour une utilisation avec Citrix Hypervisor 8.2 CU1 dans les environnements de production. Pour gérer votre environnement de production Citrix Hypervisor 8.2 CU1, utilisez XenCenter 8.2.7. Pour plus d’informations, consultez la documentation XenCenter 8.2.7.

Vous pouvez installer XenCenter 8.2.7 et XenCenter YYYY.x.x sur le même système. L’installation de XenCenter YYYY.x.x ne remplace pas votre installation de XenCenter 8.2.7.

L’hôte XenServer est installé avec un certificat TLS par défaut. Toutefois, pour utiliser le protocole HTTPS afin de sécuriser les communications entre XenServer et Citrix Virtual Apps and Desktops, installez un certificat fourni par une autorité de certification approuvée.

Cet article contient des informations sur l’utilisation des certificats dans XenCenter. Pour plus d’informations sur l’utilisation des certificats à l’aide de l’interface de ligne de commande xe, consultez Hôtes et pools de ressources

Exigences

Assurez-vous que votre certificat TLS et sa clé privée répondent aux exigences suivantes :

• Le certificat et la paire de clés sont une clé RSA
• La clé correspond au certificat
• La clé est fournie dans un fichier séparé du certificat.
• Le certificat est fourni dans un fichier séparé pour tous les certificats intermédiaires
• Le fichier clé doit être de l’un des types suivants : .pem ou .key
• Tout fichier de certificat doit être l’un des types suivants : .pem, .cer, ou .crt
• La clé est supérieure ou égale à 2 048 bits et inférieure ou égale à 4 096 bits de longueur
• La clé est une clé PKCS #8 non chiffrée et ne possède pas de clé d’accès
• La clé et le certificat sont au format « PEM » codé en base 64
• Le certificat est valide et n’a pas expiré
• L’algorithme de signature est SHA-2 (SHA256)

XenCenter vous avertit lorsque le certificat et la clé que vous choisissez ne répondent pas à ces exigences.

Installer un certificat

Vous pouvez utiliser XenCenter pour installer un certificat situé sur le système XenCenter sur un hôte XenServer.

Pour installer un certificat sur un hôte XenServer, vous devez avoir le rôle d’administrateur du pool et HA ne doit pas être activé sur l’hôte XenServer.

1. Accédez à la boîte de dialogue Installer les certificats . Vous pouvez accéder à cette boîte de dialogue de l’une des manières suivantes :

   • Dans le menu Serveur, sélectionnez Installer les certificats.
   • Cliquez avec le bouton droit sur l’hôte dans le volet des ressources et choisissez Installer les certificats dans le menu contextuel.
   • Dans l’onglet Général de l’hôte, cliquez avec le bouton droit sur la section Certificats et choisissez Installer les certificats dans le menu contextuel.
2. Dans la boîte de dialogue Installer les certificats, accédez à l’emplacement du fichier de clé privée et sélectionnez-le.
3. Accédez à l’emplacement du fichier de certificat du serveur et sélectionnez-le.

4. Vous pouvez choisir d’ajouter n’importe quel nombre de certificats intermédiaires à partir de la chaîne de certificats.

   1. Cliquez sur Ajouter.
   2. Accédez à l’emplacement d’un ou de plusieurs certificats intermédiaires et sélectionnez-les.

5. Cliquez sur Installer.

   XenCenter valide et installe les certificats.

   • En cas de problème avec un certificat, XenCenter affiche un message d’erreur. Essayez de corriger le problème, puis cliquez à nouveau sur Installer .
   • Si le certificat est correctement installé, XenCenter affiche un message de réussite. Vous pouvez maintenant cliquer sur Fermer pour fermer la boîte de dialogue.

Lorsque le certificat d’un hôte XenServer est modifié, l’hôte ferme toutes les connexions ouvertes. XenCenter s’attend à ce comportement et rouvre la connexion avec l’hôte XenServer. Cependant, vous devrez peut-être rouvrir manuellement toutes les autres connexions précédemment ouvertes à l’hôte, par exemple depuis un autre client d’API ou depuis l’interface de ligne de commande xe distante.

Afficher les informations du certificat

Dans l’onglet Général d’un hôte XenServer, une section intitulée Certificats affiche les informations suivantes pour l’hôte :

• La période de validité du certificat. Ce texte apparaît en rouge lorsque le certificat approche de sa date d’expiration.
• L’empreinte numérique du certificat

L’onglet Général d’un pool XenServer affiche les informations suivantes pour le pool :

• La section Général contient une entrée pour la vérification des certificats qui indique si la vérification du certificat est activée ou désactivée.
• La section Certificats répertorie le nom, la validité et l’empreinte numérique des certificats de l’autorité de certification.

Activation de la vérification des certificats pour votre pool

La vérification des certificats est activée par défaut sur les nouvelles installations de XenServer 8 et versions ultérieures. Pour plus d’informations, consultez la section Vérification des certificats.

Si vous effectuez une mise à niveau depuis une version antérieure de XenServer, la vérification des certificats n’est pas activée automatiquement et vous devez l’activer. XenCenter vous invite à activer la vérification des certificats lors de votre prochaine connexion au pool mis à niveau.

Avant d’activer la vérification des certificats sur un pool, assurez-vous qu’aucune opération n’est en cours d’exécution dans le pool.

XenCenter propose plusieurs méthodes pour activer la vérification des certificats.

• Lorsque vous connectez le XenCenter pour la première fois à un pool sans que la vérification des certificats soit activée, vous êtes invité à l’activer. Cliquez sur Oui, activer la vérification des certificats.
• Dans le menu Pool, sélectionnez Activer la vérification des certificats.
• Dans l’onglet Général du pool, cliquez avec le bouton droit sur l’entrée Vérification du certificat et choisissez Activer la vérification des certificats dans le menu.

Réinitialiser les certificats d’identité

Vous pouvez réinitialiser le certificat d’identité du serveur à partir de XenCenter ou de l’interface de ligne de commande xe. La réinitialisation d’un certificat supprime le certificat de l’hôte et installe un nouveau certificat auto-signé à sa place.

Pour réinitialiser un certificat dans XenCenter :

1. Accédez à l’onglet Général de l’hôte.
2. Dans la section Certificats, cliquez avec le bouton droit sur le certificat que vous souhaitez réinitialiser.
3. Dans le menu, sélectionnez Réinitialiser le certificat.
4. Dans la boîte de dialogue qui apparaît, cliquez sur Oui pour confirmer la réinitialisation du certificat.

Sinon, dans le menu Serveur, vous pouvez accéder à Certificat > Réinitialiser le certificat.

Lorsque vous réinitialisez un certificat, toutes les connexions existantes à l’hôte XenServer sont déconnectées, y compris la connexion entre XenCenter et l’hôte.

Pour plus d’informations sur la réinitialisation d’un certificat à l’aide de l’interface de ligne de commande xe, consultez Vérification des certificats

Alertes relatives

Lorsque vos certificats approchent de leur date d’expiration, XenCenter affiche des alertes dans la section Alertes de l’onglet Notifications . Vous pouvez choisir d’ouvrir la boîte de dialogue Installer les certificats dans le menu d’actions de ces alertes.

Pour plus d’informations sur les alertes, consultez Alertes XenCenter.