XenServer

Vérification des certificats

August 24, 2023

Contributeur:

Lorsque la vérification des certificats est activée pour un pool, tous les points de terminaison de communication TLS de son réseau de gestion utilisent des certificats pour valider l’identité de leurs homologues avant de transmettre des informations confidentielles.

Comportement

Les connexions initiées par un hôte XenServer sur le réseau de gestion nécessitent que le point de terminaison de destination fournisse un certificat TLS pour vérifier son identité. Cette exigence concerne les éléments suivants qui font partie du pool ou interagissent avec le pool :

Des hôtes dans la piscine
XenCenter
Clients tiers utilisant l’API

La vérification des certificats est compatible à la fois avec les certificats auto-signés fournis par XenServer et avec les certificats installés par l’utilisateur et signés par une autorité de confiance. Pour plus d’informations, consultez Installer un certificat TLS sur votre hôte.

Chaque hôte XenServer d’un pool possède deux certificats qui l’identifient :

Lescertificats d’identité internes au pool sont utilisés pour sécuriser les communications entre les hôtes du pool. Pour les communications au sein du pool, XenServer utilise toujours des certificats auto-signés.
Lescertificats d’identité de serveur sont utilisés pour vérifier l’identité d’un hôte XenServer auprès de toutes les applications clientes qui communiquent avec le pool sur le réseau de gestion. Pour la communication entre l’hôte et une application cliente, vous pouvez utiliser des certificats auto-signés ou vous pouvez installer vos propres certificats TLS sur vos hôtes.

Lorsqu’un hôte rejoint le pool pour la première fois ou qu’un client établit une connexion au pool pour la première fois, le pool approuve la connexion. Au cours de cette première connexion, des certificats sont échangés entre le pool et l’hôte ou le client qui se connecte. Pour toutes les communications ultérieures de cet hôte ou client sur le réseau de gestion, les certificats sont utilisés pour vérifier l’identité des parties impliquées dans la communication.

Nous vous recommandons d’activer la vérification des certificats sur tous vos hôtes et pools. Pour qu’un hôte XenServer rejoigne correctement un pool, la vérification des certificats doit être activée ou désactivée pour l’hôte et le pool. Si la vérification des certificats est activée sur l’un et pas sur l’autre, l’opération de jointure échoue. XenCenter fournit un message d’avertissement qui vous conseille d’activer la vérification des certificats sur le pool ou sur l’hôte joignant.

Lorsqu’un hôte quitte un pool avec la vérification des certificats activée, l’hôte et le pool suppriment les certificats relatifs à l’autre.

L’appliance virtuelle Workload Balancing peut être utilisée avec la vérification des certificats. Vous devez vous assurer que les certificats auto-signés Workload Balancing sont installés sur votre hôte XenServer.

L’appliance virtuelle XenServer Conversion Manager ne se connecte pas aux hôtes XenServer et est donc exemptée de l’obligation de vérification de certification lorsqu’elle agit en tant que point de terminaison client TLS.

Activation de la vérification des certificats pour votre pool

La vérification des certificats est activée par défaut sur les nouvelles installations de XenServer 8 et versions ultérieures. Si vous effectuez une mise à niveau depuis une version antérieure de XenServer ou Citrix Hypervisor, la vérification des certificats n’est pas activée automatiquement et vous devez l’activer. XenCenter vous invite à activer la vérification des certificats lors de votre prochaine connexion au pool mis à niveau.

Avant d’activer la vérification des certificats sur un pool, assurez-vous qu’aucune opération n’est en cours d’exécution dans le pool.

Activer à l’aide de XenCenter

XenCenter propose plusieurs méthodes pour activer la vérification des certificats.

Lorsque vous connectez XenCenter pour la première fois à un pool sans que la vérification des certificats soit activée, vous êtes invité à l’activer. Cliquez sur Oui, activer la vérification des certificats.
Dans le menu Pool, sélectionnez Activer la vérification des certificats.
Dans l’onglet Général du pool, cliquez avec le bouton droit sur l’entrée Vérification du certificat et choisissez Activer la vérification des certificats dans le menu.

Activation à l’aide de la CLI xe

Pour activer la vérification des certificats pour un pool, exécutez la commande suivante dans la console d’un hôte du pool :

xe pool-enable-tls-verification

Gestion des certificats

Vous pouvez installer, consulter des informations et réinitialiser les certificats utilisés pour vérifier l’identité d’un hôte.

Installation de certificats

Vous pouvez installer votre propre certificat TLS pour que l’hôte le présente comme certificat d’identité lors de la réception de connexions provenant d’applications clientes sur le réseau de gestion.

Pour plus d’informations, consultez Installer un certificat TLS sur votre hôte.

Affichage des informations de certificat

Pour savoir si la vérification des certificats est activée pour un pool :

Dans XenCenter, recherchez le pool dans l’ onglet Général. La section Général contient une entrée pour la vérification des certificats qui indique si la vérification du certificat est activée ou désactivée. Cet onglet contient également une section Certificats qui répertorie le nom, la validité et l’empreinte numérique des certificats de l’autorité de certification.
Avec l’interface de ligne de commande xe, vous pouvez exécuter la commande suivante :
```
 xe pool-param-get uuid=<pool_uuid> param-name=tls-verification-enabled
```
Si la vérification du certificat est activée, la ligne tls-verification-enabled ( RO): true apparaît dans la sortie de la commande.

Pour afficher des informations sur les certificats sur un hôte XenServer :

Dans XenCenter, accédez à l’onglet Général de cet hôte. La section Certificats affiche l’empreinte numérique et les dates de validité du certificat d’identité du serveur et du certificat d’identité interne au pool.
Avec l’interface de ligne de commande xe, vous pouvez exécuter la commande suivante :
```
 xe certificate-list
```

Actualisation des certificats d’identité internes au pool

Vous pouvez actualiser le certificat d’identité interne au pool à l’aide de l’interface de ligne de commande xe :

Recherchez l’UUID de l’hôte dont vous souhaitez réinitialiser le certificat en exécutant la commande suivante :
```
xs host-list
```
Pour réinitialiser le certificat, exécutez la commande suivante :
```
xe host-refresh-server-certificate host=<host_uuid>
```
Remarque :

N’importe quel paramètre du sélecteur d’hôte peut être utilisé avec cette commande pour indiquer l’hôte sur lequel réinitialiser le certificat.

Réinitialisation des certificats d’identité du serveur

Vous pouvez réinitialiser le certificat d’identité du serveur à partir de XenCenter ou de l’interface de ligne de commande xe. La réinitialisation d’un certificat supprime le certificat de l’hôte et installe un nouveau certificat auto-signé à sa place.

Pour réinitialiser un certificat dans XenCenter :

Accédez à l’onglet Général de l’hôte.
Dans la section Certificats, cliquez avec le bouton droit sur le certificat que vous souhaitez réinitialiser.
Dans le menu, sélectionnez Réinitialiser le certificat.
Dans la boîte de dialogue qui apparaît, cliquez sur Oui pour confirmer la réinitialisation du certificat.

Sinon, dans le menu Serveur, vous pouvez accéder à Certificats > Réinitialiser le certificat.

Lorsque vous réinitialisez un certificat, toutes les connexions existantes à l’hôte XenServer sont déconnectées, y compris la connexion entre XenCenter et l’hôte. XenCenter se reconnecte automatiquement à l’hôte après la réinitialisation du certificat.

Pour réinitialiser un certificat en utilisant l’interface de ligne de commande xe :

Recherchez l’UUID de l’hôte dont vous souhaitez réinitialiser le certificat en exécutant la commande suivante :
```
xs host-list
```
Pour réinitialiser le certificat, exécutez la commande suivante :
```
xe host-reset-server-certificate host=<host_uuid>
```
Remarque :

N’importe quel paramètre du sélecteur d’hôte peut être utilisé avec cette commande pour indiquer l’hôte XenServer sur lequel réinitialiser le certificat.

Alertes d’expiration

XenCenter affiche des alertes dans la vue Notifications lorsque les certificats d’identité de votre serveur, les certificats d’identité internes au pool ou les certificats CA du pool approchent de leur date d’expiration.

Désactivation temporaire de la vérification des certificats

Nous vous déconseillons de désactiver la vérification des certificats une fois qu’elle a été activée sur un hôte ou un pool. Toutefois, XenServer fournit des commandes qui peuvent être utilisées pour désactiver la vérification des certificats par hôte lors de la résolution de problèmes liés aux certificats.

Pour désactiver temporairement la vérification des certificats, exécutez la commande suivante sur la console hôte :

xe host-emergency-disable-tls-verification

XenCenter affiche une alerte dans la vue Notifications lorsque la vérification des certificats est désactivée sur un hôte d’un pool où la fonctionnalité est activée.

Après avoir résolu tous les problèmes liés aux certificats sur l’hôte, veillez à réactiver la vérification des certificats sur celui-ci. Pour réactiver la vérification des certificats, exécutez la commande suivante sur la console hôte :

xe host-emergency-reenable-tls-verification

La version officielle de ce document est en anglais. Certains contenus de la documentation Cloud Software Group ont été traduits de façon automatique à des fins pratiques uniquement. Cloud Software Group n'exerce aucun contrôle sur le contenu traduit de façon automatique, qui peut contenir des erreurs, des imprécisions ou un langage inapproprié. Aucune garantie, explicite ou implicite, n'est fournie quant à l'exactitude, la fiabilité, la pertinence ou la justesse de toute traduction effectuée depuis l'anglais d'origine vers une autre langue, ou quant à la conformité de votre produit ou service Cloud Software Group à tout contenu traduit de façon automatique, et toute garantie fournie en vertu du contrat de licence de l'utilisateur final ou des conditions d'utilisation des services applicables, ou de tout autre accord avec Cloud Software Group, quant à la conformité du produit ou service à toute documentation ne s'applique pas dans la mesure où cette documentation a été traduite de façon automatique. Cloud Software Group ne pourra être tenu responsable de tout dommage ou problème dû à l'utilisation de contenu traduit de façon automatique.

Cela vous a-t-il été utile ?

Vérification des certificats

August 24, 2023

Contributeur:

August 24, 2023

Contributeur:

Dans cet article

Comportement
Activation de la vérification des certificats pour votre pool
Gestion des certificats
Désactivation temporaire de la vérification des certificats

Cela vous a-t-il été utile ?