XenServer

Vérification du certificat

Lorsque la vérification des certificats est activée pour un pool, tous les points de terminaison de communication TLS sur son réseau de gestion utilisent des certificats pour valider l’identité de leurs homologues avant de transmettre des informations confidentielles.

Comportement

Les connexions initiées par un hôte XenServer sur le réseau de gestion nécessitent que le point de terminaison de destination fournisse un certificat TLS pour vérifier son identité. Cette exigence concerne les éléments suivants qui font partie du pool ou qui interagissent avec celui-ci :

  • Hôtes dans la piscine
  • XenCenter
  • Clients tiers qui utilisent l’API

La vérification des certificats est compatible avec les certificats auto-signés fournis par XenServer et les certificats installés par l’utilisateur et signés par une autorité de confiance. Pour plus d’informations, consultez Installer un certificat TLS sur votre hébergeur.

Chaque hôte XenServer d’un pool possède deux certificats qui l’identifient :

  • Certificats d’identité internes au pool sont utilisés pour sécuriser les communications entre les hôtes au sein du pool. Pour la communication au sein du pool, XenServer utilise toujours des certificats auto-signés.

  • Certificats d’identité de serveur sont utilisés pour vérifier l’identité d’un hôte XenServer auprès de toutes les applications clientes qui communiquent avec le pool sur le réseau de gestion. Pour la communication entre l’hôte et une application cliente, vous pouvez utiliser des certificats auto-signés ou installer vos propres certificats TLS sur vos hôtes.

Lorsqu’un hôte rejoint le pool pour la première fois ou qu’un client établit une connexion pour la première fois au pool, le pool approuve la connexion. Lors de cette première connexion, les certificats sont échangés entre le pool et l’hôte de jonction ou le client de connexion. Pour toutes les communications ultérieures de cet hôte ou client sur le réseau de gestion, les certificats sont utilisés pour vérifier l’identité des parties impliquées dans la communication.

Nous vous recommandons d’activer la vérification des certificats sur tous vos hôtes et pools. Pour qu’un hôte XenServer puisse rejoindre un pool, la vérification de certificat doit être activée ou désactivée sur l’hôte et le pool. Si la vérification du certificat est activée sur l’un et pas sur l’autre, l’opération de jointure échoue. XenCenter fournit un message d’avertissement qui vous conseille d’activer la vérification du certificat sur le pool ou sur l’hôte de jonction.

Lorsqu’un hôte quitte un pool avec la vérification des certificats activée, l’hôte et le pool suppriment tous deux les certificats associés à l’autre.

Le dispositif virtuel d’équilibrage de la charge de travail peut être utilisé avec la vérification des certificats. Vous devez vous assurer que les certificats auto-signés d’équilibrage de la charge de travail sont installés sur votre hôte XenServer.

L’appliance virtuelle Conversion Manager ne se connecte pas aux hôtes XenServer et est donc exemptée de l’exigence de vérification de certification lorsqu’elle agit en tant que point de terminaison client TLS.

Activation de la vérification des certificats pour votre pool

La vérification des certificats est activée par défaut sur les nouvelles installations de XenServer 8 et versions ultérieures. Si vous effectuez une mise à niveau à partir d’une version antérieure de XenServer ou de Citrix Hypervisor, la vérification du certificat n’est pas activée automatiquement et vous devez l’activer. XenCenter vous invite à activer la vérification du certificat la prochaine fois que vous vous connectez au pool mis à niveau.

Avant d’activer la vérification de certificat sur un pool, assurez-vous qu’aucune opération n’est en cours d’exécution dans le pool.

Activer à l’aide de XenCenter

XenCenter propose plusieurs façons d’activer la vérification des certificats.

  • Lorsque vous connectez XenCenter pour la première fois à un pool sans que la vérification des certificats soit activée, vous êtes invité à l’activer. Cliquer Oui, activer la vérification du certificat.

  • Dans le Mare menu, sélectionnez Activer la vérification des certificats.

  • Sur le Généralités du pool, cliquez avec le bouton droit de la souris sur l’entrée Vérification du certificat et choisissez Activer la vérification des certificats dans le menu.

Activer à l’aide de l’interface de ligne de commande xe

Pour activer la vérification de certificat pour un pool, exécutez la commande suivante dans la console d’un hôte du pool :

  xe pool-enable-tls-verification

Gestion des certificats

Vous pouvez installer, afficher des informations et réinitialiser les certificats utilisés pour vérifier l’identité d’un hôte.

Installation de certificats

Vous pouvez installer votre propre certificat TLS pour que l’hôte le présente en tant que certificat d’identité lors de la réception de connexions à partir d’applications clientes sur le réseau de gestion.

Pour plus d’informations, consultez Installer un certificat TLS sur votre hébergeur.

Affichage des informations sur les certificats

Pour savoir si la vérification des certificats est activée dans un pool :

  • Dans XenCenter, regardez dans le Généralités pour la piscine. Le Généralités section a une entrée pour Vérification du certificat qui indique si la vérification du certificat est activée ou désactivée. Cet onglet contient également un Certificats section qui répertorie le nom, la validité et l’empreinte numérique des certificats d’autorité de certification.

  • Avec l’interface de ligne de commande xe, vous pouvez exécuter la commande suivante :

       xe pool-param-get uuid=<pool_uuid> param-name=tls-verification-enabled
    

    Si la vérification du certificat est activée, la ligne tls-verification-enabled ( RO) : vrai apparaît dans la sortie de la commande.

Pour afficher des informations sur les certificats sur un hôte XenServer :

  • Dans XenCenter, accédez à l’onglet Généralités pour cet hôte. Le Certificats affiche l’empreinte numérique et les dates de validité du certificat d’identité du serveur et du certificat d’identité interne au pool.

  • Avec l’interface de ligne de commande xe, vous pouvez exécuter la commande suivante :

       xe certificate-list
    

Actualisation des certificats d’identité internes au pool

Vous pouvez actualiser le certificat d’identité interne au pool à l’aide de l’interface de ligne de commande xe :

  1. Recherchez l’UUID de l’hôte dont vous souhaitez réinitialiser le certificat en exécutant la commande suivante :

      xe host-list
    
  2. Pour réinitialiser le certificat, exécutez la commande suivante :

      xe host-refresh-server-certificate host=<host_uuid>
    

    Remarque :

    N’importe quel paramètre de sélecteur d’hôte peut être utilisé avec cette commande pour indiquer l’hôte sur lequel réinitialiser le certificat.

Réinitialisation des certificats d’identité de serveur

Vous pouvez réinitialiser le certificat d’identité du serveur à partir de XenCenter ou de l’interface de ligne de commande xe. La réinitialisation d’un certificat supprime le certificat de l’hôte et installe un nouveau certificat auto-signé à sa place.

Pour réinitialiser un certificat dans XenCenter :

  1. Rendez-vous dans le Généralités de l’hôte.
  2. Dans le Certificats , cliquez avec le bouton droit de la souris sur le certificat que vous souhaitez réinitialiser.
  3. Dans le menu, sélectionnez Réinitialiser le certificat.
  4. Dans la boîte de dialogue qui s’affiche, cliquez sur Oui pour confirmer la réinitialisation du certificat.

Alternativement, dans le Serveur menu, vous pouvez vous rendre dans Certificats > Réinitialiser le certificat.

Lorsque vous réinitialisez un certificat, toutes les connexions existantes à l’hôte XenServer sont déconnectées, y compris la connexion entre XenCenter et l’hôte. XenCenter se reconnecte automatiquement à l’hôte après la réinitialisation d’un certificat.

Pour réinitialiser un certificat à l’aide de l’interface de ligne de commande xe :

  1. Recherchez l’UUID de l’hôte dont vous souhaitez réinitialiser le certificat en exécutant la commande suivante :

      xe host-list
    
  2. Pour réinitialiser le certificat, exécutez la commande suivante :

      xe host-reset-server-certificate host=<host_uuid>
    

    Remarque :

    N’importe quel paramètre de sélecteur d’hôte peut être utilisé avec cette commande pour indiquer l’hôte XenServer sur lequel réinitialiser le certificat.

Lorsque vous réinitialisez un certificat, toutes les connexions existantes à l’hôte XenServer sont déconnectées, y compris la connexion entre XenCenter et l’hôte. XenCenter se reconnecte automatiquement à l’hôte après la réinitialisation d’un certificat.

Alertes d’expiration

XenCenter affiche des alertes dans le Notifications voir quand vos certificats d’identité de serveur, certificats d’identité internes au pool ou certificats d’autorité de certification de pool sont proches de leur date d’expiration.

Désactivation temporaire de la vérification des certificats

Nous vous déconseillons de désactiver la vérification de certificat une fois qu’elle a été activée sur un hôte ou un pool. Cependant, XenServer fournit des commandes qui peuvent être utilisées pour désactiver la vérification des certificats par hôte lors du dépannage des problèmes liés aux certificats.

Pour désactiver temporairement la vérification du certificat, exécutez la commande suivante sur la console hôte :

  xe host-emergency-disable-tls-verification

XenCenter affiche une alerte dans le Notifications Afficher lorsque la vérification du certificat est désactivée sur un hôte d’un pool où la fonctionnalité est activée.

Une fois que vous avez résolu les problèmes liés aux certificats sur l’hôte, assurez-vous d’activer à nouveau la vérification des certificats sur celui-ci. Pour réactiver la vérification du certificat, exécutez la commande suivante sur la console hôte :

  xe host-emergency-reenable-tls-verification
Vérification du certificat