Vérification des certificats
Lorsque la vérification des certificats est activée pour un pool, tous les points de terminaison de communication TLS de son réseau de gestion utilisent des certificats pour valider l’identité de leurs homologues avant de transmettre des informations confidentielles.
Comportement
Les connexions initiées par un hôte XenServer sur le réseau de gestion nécessitent que le point de terminaison de destination fournisse un certificat TLS pour vérifier son identité. Cette exigence concerne les éléments suivants qui font partie du pool ou interagissent avec le pool :
- Des hôtes dans la piscine
- XenCenter
- Clients tiers utilisant l’API
La vérification des certificats est compatible à la fois avec les certificats auto-signés fournis par XenServer et avec les certificats installés par l’utilisateur et signés par une autorité de confiance. Pour plus d’informations, consultez Installer un certificat TLS sur votre hôte.
Chaque hôte XenServer d’un pool possède deux certificats qui l’identifient :
-
Lescertificats d’identité internes au pool sont utilisés pour sécuriser les communications entre les hôtes du pool. Pour les communications au sein du pool, XenServer utilise toujours des certificats auto-signés.
-
Lescertificats d’identité de serveur sont utilisés pour vérifier l’identité d’un hôte XenServer auprès de toutes les applications clientes qui communiquent avec le pool sur le réseau de gestion. Pour la communication entre l’hôte et une application cliente, vous pouvez utiliser des certificats auto-signés ou vous pouvez installer vos propres certificats TLS sur vos hôtes.
Lorsqu’un hôte rejoint le pool pour la première fois ou qu’un client établit une connexion au pool pour la première fois, le pool approuve la connexion. Au cours de cette première connexion, des certificats sont échangés entre le pool et l’hôte ou le client qui se connecte. Pour toutes les communications ultérieures de cet hôte ou client sur le réseau de gestion, les certificats sont utilisés pour vérifier l’identité des parties impliquées dans la communication.
Nous vous recommandons d’activer la vérification des certificats sur tous vos hôtes et pools. Pour qu’un hôte XenServer rejoigne correctement un pool, la vérification des certificats doit être activée ou désactivée pour l’hôte et le pool. Si la vérification des certificats est activée sur l’un et pas sur l’autre, l’opération de jointure échoue. XenCenter fournit un message d’avertissement qui vous conseille d’activer la vérification des certificats sur le pool ou sur l’hôte joignant.
Lorsqu’un hôte quitte un pool avec la vérification des certificats activée, l’hôte et le pool suppriment les certificats relatifs à l’autre.
L’appliance virtuelle Workload Balancing peut être utilisée avec la vérification des certificats. Vous devez vous assurer que les certificats auto-signés Workload Balancing sont installés sur votre hôte XenServer.
L’appliance virtuelle XenServer Conversion Manager ne se connecte pas aux hôtes XenServer et est donc exemptée de l’obligation de vérification de certification lorsqu’elle agit en tant que point de terminaison client TLS.
Activation de la vérification des certificats pour votre pool
La vérification des certificats est activée par défaut sur les nouvelles installations de XenServer 8 et versions ultérieures. Si vous effectuez une mise à niveau depuis une version antérieure de XenServer ou Citrix Hypervisor, la vérification des certificats n’est pas activée automatiquement et vous devez l’activer. XenCenter vous invite à activer la vérification des certificats lors de votre prochaine connexion au pool mis à niveau.
Avant d’activer la vérification des certificats sur un pool, assurez-vous qu’aucune opération n’est en cours d’exécution dans le pool.
Activer à l’aide de XenCenter
XenCenter propose plusieurs méthodes pour activer la vérification des certificats.
-
Lorsque vous connectez XenCenter pour la première fois à un pool sans que la vérification des certificats soit activée, vous êtes invité à l’activer. Cliquez sur Oui, activer la vérification des certificats.
-
Dans le menu Pool, sélectionnez Activer la vérification des certificats.
-
Dans l’onglet Général du pool, cliquez avec le bouton droit sur l’entrée Vérification du certificat et choisissez Activer la vérification des certificats dans le menu.
Activation à l’aide de la CLI xe
Pour activer la vérification des certificats pour un pool, exécutez la commande suivante dans la console d’un hôte du pool :
xe pool-enable-tls-verification
Gestion des certificats
Vous pouvez installer, consulter les informations les concernant et réinitialiser les certificats utilisés pour vérifier l’identité d’un hôte.
Installation de certificats
Vous pouvez installer votre propre certificat TLS pour que l’hôte le présente comme certificat d’identité lors de la réception de connexions provenant d’applications clientes sur le réseau de gestion.
Pour plus d’informations, consultez Installer un certificat TLS sur votre hôte.
Affichage des informations de certificat
Pour savoir si la vérification des certificats est activée pour un pool :
-
Dans XenCenter, recherchez le pool dans l’onglet Général. La section Général contient une entrée pour la vérification des certificats qui indique si la vérification du certificat est activée ou désactivée. Cet onglet contient également une section Certificats qui répertorie le nom, la validité et l’empreinte numérique des certificats de l’autorité de certification.
-
Avec l’interface de ligne de commande xe, vous pouvez exécuter la commande suivante :
xe pool-param-get uuid=<pool_uuid> param-name=tls-verification-enabled
Si la vérification du certificat est activée, la ligne
tls-verification-enabled ( RO): true
apparaît dans la sortie de la commande.
Pour afficher des informations sur les certificats sur un hôte XenServer :
-
Dans XenCenter, accédez à l’onglet Général de cet hôte. La section Certificats affiche l’empreinte numérique et les dates de validité du certificat d’identité du serveur et du certificat d’identité interne au pool.
-
Avec l’interface de ligne de commande xe, vous pouvez exécuter la commande suivante :
xe certificate-list
Actualisation des certificats d’identité internes au pool
Vous pouvez actualiser le certificat d’identité interne au pool à l’aide de l’interface de ligne de commande xe :
-
Recherchez l’UUID de l’hôte dont vous souhaitez réinitialiser le certificat en exécutant la commande suivante :
xe host-list
-
Pour réinitialiser le certificat, exécutez la commande suivante :
xe host-refresh-server-certificate host=<host_uuid>
Remarque :
N’importe quel paramètre du sélecteur d’hôte peut être utilisé avec cette commande pour indiquer l’hôte sur lequel réinitialiser le certificat.
Réinitialisation des certificats d’identité du serveur
Vous pouvez réinitialiser le certificat d’identité du serveur à partir de XenCenter ou de l’interface de ligne de commande xe. La réinitialisation d’un certificat supprime le certificat de l’hôte et installe un nouveau certificat auto-signé à sa place.
Pour réinitialiser un certificat dans XenCenter :
- Accédez à l’onglet Général de l’hôte.
- Dans la section Certificats, cliquez avec le bouton droit sur le certificat que vous souhaitez réinitialiser.
- Dans le menu, sélectionnez Réinitialiser le certificat.
- Dans la boîte de dialogue qui apparaît, cliquez sur Oui pour confirmer la réinitialisation du certificat.
Sinon, dans le menu Serveur, vous pouvez accéder à Certificats > Réinitialiser le certificat.
Lorsque vous réinitialisez un certificat, toutes les connexions existantes à l’hôte XenServer sont déconnectées, y compris la connexion entre XenCenter et l’hôte. XenCenter se reconnecte automatiquement à l’hôte après la réinitialisation du certificat.
Pour réinitialiser un certificat en utilisant l’interface de ligne de commande xe :
-
Recherchez l’UUID de l’hôte dont vous souhaitez réinitialiser le certificat en exécutant la commande suivante :
xe host-list
-
Pour réinitialiser le certificat, exécutez la commande suivante :
xe host-reset-server-certificate host=<host_uuid>
Remarque :
N’importe quel paramètre du sélecteur d’hôte peut être utilisé avec cette commande pour indiquer l’hôte XenServer sur lequel réinitialiser le certificat.
Lorsque vous réinitialisez un certificat, toutes les connexions existantes à l’hôte XenServer sont déconnectées, y compris la connexion entre XenCenter et l’hôte. XenCenter se reconnecte automatiquement à l’hôte après la réinitialisation du certificat.
Alertes d’expiration
XenCenter affiche des alertes dans la vue Notifications lorsque les certificats d’identité de votre serveur, les certificats d’identité internes au pool ou les certificats CA du pool approchent de leur date d’expiration.
Désactivation temporaire de la vérification des certificats
Nous vous déconseillons de désactiver la vérification des certificats une fois qu’elle a été activée sur un hôte ou un pool. Toutefois, XenServer fournit des commandes qui peuvent être utilisées pour désactiver la vérification des certificats par hôte lors de la résolution de problèmes liés aux certificats.
Pour désactiver temporairement la vérification des certificats, exécutez la commande suivante sur la console hôte :
xe host-emergency-disable-tls-verification
XenCenter affiche une alerte dans la vue Notifications lorsque la vérification des certificats est désactivée sur un hôte d’un pool où la fonctionnalité est activée.
Après avoir résolu tous les problèmes liés aux certificats sur l’hôte, veillez à réactiver la vérification des certificats sur celui-ci. Pour réactiver la vérification des certificats, exécutez la commande suivante sur la console hôte :
xe host-emergency-reenable-tls-verification