Documentation produit
XenServer
8 Citrix Hypervisor 8.2 CU1
Voir PDF

Certificats pour l’équilibrage de la charge de travail

October 24, 2024
Contributeur: 
X X

XenServer et Workload Balancing communiquent via HTTPS. Lors de la configuration de l’équilibrage de la charge de travail, l’Assistant crée automatiquement un certificat de test auto-signé. Ce certificat de test auto-signé permet à Workload Balancing d’établir une connexion TLS à XenServer. Par défaut, l’équilibrage de la charge de travail crée automatiquement cette connexion TLS avec XenServer. Vous n’avez pas besoin d’effectuer de configurations de certificat pendant ou après la configuration de l’équilibrage de la charge de travail pour créer cette connexion TLS.

Remarque :

Le certificat auto-signé est un espace réservé pour faciliter la communication HTTPS et ne provient pas d’une autorité de certification de confiance. Pour plus de sécurité, nous vous recommandons d’utiliser un certificat signé par une autorité de certification de confiance.

Pour utiliser un certificat d’une autre autorité de certification, tel qu’un certificat signé d’une autorité commerciale, vous devez configurer l’équilibrage de la charge de travail et XenServer pour l’utiliser.

Par défaut, XenServer valide l’identité du certificat avant d’établir une connexion à l’équilibrage de la charge de travail. Pour configurer XenServer afin qu’il vérifie la présence d’un certificat spécifique, exportez le certificat racine utilisé pour signer le certificat. Copiez le certificat sur XenServer et configurez XenServer pour qu’il soit vérifié lorsqu’une connexion à l’équilibrage de la charge de travail est établie. XenServer agit en tant que client dans ce scénario et Workload Balancing agit en tant que serveur.

En fonction de vos objectifs de sécurité, vous pouvez soit :

XenServer vérifie qu’un certificat spécifique est présent avant de permettre à l’appliance virtuelle d’équilibrage de charge de travail de s’y connecter via TLS. Dans ce cas, le vrai certificat (le certificat avec la clé privée) se trouve sur le serveur d’équilibrage de la charge de travail. Le certificat qui a été utilisé pour le signer se trouve sur le coordinateur de pool XenServer.

Remarque :

La vérification des certificats est une mesure de sécurité conçue pour empêcher les connexions indésirables. Les certificats d’équilibrage de la charge de travail doivent répondre à des exigences strictes, sinon la vérification du certificat échoue. Lorsque la vérification du certificat échoue, XenServer n’autorise pas la connexion.

Pour que la vérification des certificats réussisse, vous devez stocker les certificats dans les emplacements spécifiques où XenServer s’attend à les trouver.

Configurer XenServer pour vérifier le certificat auto-signé

Vous pouvez configurer XenServer pour vérifier que le certificat auto-signé de XenServer Workload Balancing est authentique avant que XenServer n’autorise la connexion à Workload Balancement.

Important :

Pour vérifier le certificat auto-signé XenServer Workload Balancedling, vous devez vous connecter à Workload Balancing à l’aide de son nom d’hôte. Pour trouver le nom d’hôte de l’équilibrage de la charge de travail, exécutez le nom d’hôte sur l’appliance virtuelle.

Pour configurer XenServer afin qu’il vérifie le certificat auto-signé, procédez comme suit :

  1. Copiez le certificat auto-signé du dispositif virtuel d’équilibrage de la charge de travail vers le coordinateur de pool. Le certificat auto-signé XenServer Workload Balancing est stocké à l’adresse /etc/ssl/certs/serveur.pem. Exécutez la commande suivante sur le coordinateur de pool :

      scp root@<wlb-ip>:/etc/ssl/certs/server.pem wlb.pem
<!--NeedCopy-->

  2. Si vous recevez un message indiquant que l’authenticité de WLB-IP ne peut pas être établi, type oui pour continuer.

  3. Entrez le mot de passe root du dispositif virtuel Balancing Workload Balancing lorsque vous y êtes invité. Le certificat est copié dans le répertoire courant.

  4. Installer le certificat. Exécutez la commande suivante dans le répertoire où vous avez copié le certificat :

      xe pool-certificate-install filename=wlb.pem
<!--NeedCopy-->

  5. Vérifiez que le certificat a été correctement installé en exécutant la commande suivante sur le coordinateur de pool :

      xe pool-certificate-list
<!--NeedCopy-->

    Si vous avez correctement installé le certificat, le résultat de cette commande inclut le certificat racine exporté. L’exécution de cette commande répertorie tous les certificats TLS installés, y compris le certificat que vous avez installé.

  6. Pour synchroniser le certificat du coordinateur avec tous les hôtes du pool, exécutez la commande suivante sur le coordinateur de pool :

      xe pool-certificate-sync
<!--NeedCopy-->

    L’exécution de la commande pool-certificate-sync sur le coordinateur synchronise les listes de certificats et de révocation de certificats sur tous les hôtes du pool avec le coordinateur. Cette action garantit que tous les hôtes du pool utilisent les mêmes certificats.

    Il n’y a pas de sortie de cette commande. Cependant, l’étape suivante ne fonctionne pas si celle-ci n’a pas fonctionné avec succès.

  7. Demandez à XenServer de vérifier le certificat avant de se connecter à l’appliance virtuelle d’équilibrage de la charge de travail. Exécutez la commande suivante sur le coordinateur de pool :

      xe pool-param-set wlb-verify-cert=true uuid=uuid_of_pool
<!--NeedCopy-->

    Conseil :

    En appuyant sur le Onglet renseigne automatiquement l’UUID du pool.

  8. (Facultatif) Pour vérifier que cette procédure a fonctionné correctement, effectuez les opérations suivantes :

    1. Pour vérifier si le certificat a été synchronisé avec les autres hôtes du pool, exécutez la commande liste-de-certificats-pool sur ces hôtes.

    2. Pour tester si XenServer a été configuré pour vérifier le certificat, exécutez la commande pool-param-get avec la commande nom_param=wlb-verify-cert. Par exemple :

        xe pool-param-get param-name=wlb-verify-cert uuid=uuid_of_pool
<!--NeedCopy-->

Configurer XenServer pour vérifier un certificat d’autorité de certification

Vous pouvez configurer XenServer pour vérifier un certificat signé par une autorité de certification approuvée.

Pour les certificats d’autorité de confiance, XenServer nécessite un certificat exporté ou une chaîne de certificats (les certificats intermédiaires et racines) dans .Pem qui contient la clé publique.

Si vous souhaitez que l’équilibrage de la charge de travail utilise un certificat d’autorité approuvé, effectuez les tâches suivantes :

  1. Obtenir un certificat signé de l’autorité de certification.

  2. Spécifier et appliquer le nouveau certificat.

  3. Importer la chaîne de certificats dans le pool.

Avant de commencer ces tâches, assurez-vous que :

  • Vous connaissez l’adresse IP du coordinateur de pool XenServer.

  • XenServer peut résoudre le nom d’hôte d’équilibrage de la charge de travail. (Par exemple, vous pouvez essayer d’envoyer une commande ping au nom de domaine complet d’équilibrage de la charge de travail à partir de la console XenServer pour le coordinateur de pool.)

Obtenir un certificat signé de l’autorité de certification

Pour obtenir un certificat d’une autorité de certification, vous devez générer une demande de signature de certificat (CSR). Sur le dispositif virtuel d’équilibrage de la charge de travail, créez une clé privée et utilisez-la pour générer la CSR.

Lignes directrices pour la spécification du nom usuel

Le nom commun (CN) que vous spécifiez lors de la création d’une CSR doit correspondre exactement au nom de domaine complet de votre appliance virtuelle d’équilibrage de la charge de travail. Il doit également correspondre au nom de domaine complet ou à l’adresse IP que vous avez spécifié dans la section Adresse dans la boîte Se connecter au serveur WLB boîte de dialogue.

Pour vous assurer que le nom correspond, spécifiez le nom usuel à l’aide de l’une des instructions suivantes :

  • Spécifiez les mêmes informations pour le nom commun du certificat que celles que vous avez spécifiées dans la section Se connecter au serveur WLB dialogue.

    Par exemple, si votre dispositif virtuel d’équilibrage de la charge de travail est nommé wlb-vpx.votredomainespécifier wlb-vpx.votredomaine dans le Se connecter au serveur WLB et fournir wlb-vpx.votredomaine comme nom usuel lors de la création du CSR.

  • Si vous avez connecté votre pool à l’équilibrage de la charge de travail par adresse IP, utilisez le nom de domaine complet comme nom commun et l’adresse IP comme autre nom de l’objet (SAN). Cependant, cette approche peut ne pas fonctionner dans toutes les situations.

Créer un fichier de clé privée

Sur le dispositif virtuel d’équilibrage de la charge de travail, procédez comme suit :

  1. Créez un fichier de clé privée :

      openssl genrsa -des3 -out privatekey.pem 2048
<!--NeedCopy-->

  2. Supprimer le mot de passe :

      openssl rsa -in privatekey.pem -out privatekey.nop.pem
<!--NeedCopy-->

Remarque :

Si vous entrez le mot de passe de manière incorrecte ou incohérente, vous pouvez recevoir des messages indiquant qu’il y a une erreur d’interface utilisateur. Vous pouvez ignorer le message et réexécuter la commande pour créer le fichier de clé privée.

Générer la demande de signature de certificat

Sur le dispositif virtuel d’équilibrage de la charge de travail, procédez comme suit :

  1. Créez la demande de signature de certificat (CSR) à l’aide de la clé privée :

      openssl req -new -key privatekey.nop.pem -out csr
<!--NeedCopy-->

  2. Suivez les instructions pour fournir les informations nécessaires à la génération du CSR :

    Nom du pays. Entrez les codes de pays du certificat TLS pour votre pays. Par exemple, CA pour le Canada ou JM pour la Jamaïque. Vous pouvez trouver une liste des codes de pays des certificats TLS sur le Web.

    Nom de l’État ou de la province (nom complet). Entrez l’état ou la province où se trouve la piscine. Par exemple, le Massachusetts ou l’Alberta.

    Nom de la localité. Le nom de la ville où se trouve la piscine.

    Nom de l’organisation. Le nom de votre entreprise ou organisation.

    Nom de l’unité organisationnelle. Entrez le nom du département. Ce champ est facultatif.

    Nom commun. Entrez le nom de domaine complet de votre serveur d’équilibrage de la charge de travail. Cette valeur doit correspondre au nom que le pool utilise pour se connecter à l’équilibrage de la charge de travail. Pour plus d’informations, consultez Lignes directrices pour la spécification du nom usuel.

    Adresse courriel. Cette adresse e-mail est incluse dans le certificat lorsque vous le générez.

  3. Fournissez des attributs facultatifs ou cliquez sur Entrée pour ne pas fournir ces informations.

    La demande de CSR est enregistrée dans le répertoire courant et est nommée Rse.

  4. Affichez la CSR dans la fenêtre de la console en exécutant les commandes suivantes dans la console de l’appliance d’équilibrage de la charge de travail :

      cat csr
<!--NeedCopy-->

  5. Copiez l’intégralité du CSR et utilisez-le pour demander le certificat à l’autorité de certification.

Spécifier et appliquer le nouveau certificat

Cette procédure permet de spécifier l’équilibrage de la charge de travail à l’aide d’un certificat d’une autorité de certification. Cette procédure installe les certificats racine et (le cas échéant) intermédiaires.

Pour spécifier un nouveau certificat, procédez comme suit :

  1. Téléchargez le certificat signé, le certificat racine et, si l’autorité de certification en possède un, le certificat intermédiaire de l’autorité de certification.

  2. Si vous n’avez pas téléchargé les certificats directement sur le dispositif virtuel d’équilibrage de la charge de travail, copiez-les à l’aide de l’une des méthodes suivantes :

    • À partir d’un ordinateur Windows, utilisez WinSCP ou un autre utilitaire de copie.

      Pour le nom d’hôte, vous pouvez entrer l’adresse IP et laisser le port par défaut. Le nom d’utilisateur et le mot de passe sont généralement root, quel que soit le mot de passe que vous avez défini lors de la configuration.

    • À partir d’un ordinateur Linux ou du dispositif d’équilibrage de la charge de travail, utilisez SCP ou un autre utilitaire de copie. Par exemple :

         scp root_ca.pem root@wlb-ip:/path_on_your_WLB
 <!--NeedCopy-->

  3. Sur le dispositif virtuel d’équilibrage de la charge de travail, fusionnez le contenu de tous les certificats (certificat racine, certificat intermédiaire, s’il existe et certificat signé) dans un seul fichier. Vous pouvez utiliser la commande suivante :

      cat signed_cert.pem intermediate_ca.pem root_ca.pem > server.pem
<!--NeedCopy-->

  4. Renommez le certificat et la clé existants à l’aide de la commande move :

      mv /etc/ssl/certs/server.pem /etc/ssl/certs/server.pem_orig
  mv /etc/ssl/certs/server.key /etc/ssl/certs/server.key_orig
<!--NeedCopy-->

  5. Copiez le certificat fusionné :

      mv server.pem /etc/ssl/certs/server.pem
<!--NeedCopy-->

  6. Copiez la clé privée créée précédemment :

      mv privatekey.nop.pem /etc/ssl/certs/server.key
<!--NeedCopy-->

  7. Rendez la clé privée lisible uniquement par root. Utilisez le chmod pour corriger les autorisations.

      chmod 600 /etc/ssl/certs/server.key
<!--NeedCopy-->

  8. Redémarrer stunnel:

      killall stunnel
  stunnel
<!--NeedCopy-->

Importer la chaîne de certificats dans le pool

Une fois que vous avez obtenu les certificats, importez-les dans le coordinateur de pool XenServer. Synchronisez les hôtes du pool pour utiliser ces certificats. Ensuite, vous pouvez configurer XenServer pour vérifier l’identité et la validité du certificat chaque fois que l’équilibrage de la charge de travail se connecte à un hôte.

  1. Copiez le certificat signé, le certificat racine et, si l’autorité de certification en possède un, le certificat intermédiaire de l’autorité de certification vers le coordinateur de pool XenServer.

  2. Installez le certificat racine sur le coordinateur de pool :

      xe pool-install-ca-certificate filename=root_ca.pem
<!--NeedCopy-->

  3. Le cas échéant, installez le certificat intermédiaire sur le coordinateur de piscine :

      xe pool-install-ca-certificate filename=intermediate_ca.pem
<!--NeedCopy-->

  4. Vérifiez que les deux certificats sont correctement installés en exécutant cette commande sur le coordinateur de pool :

      xe pool-certificate-list
<!--NeedCopy-->

    L’exécution de cette commande répertorie tous les certificats TLS installés. Si les certificats ont été installés avec succès, ils apparaissent dans cette liste.

  5. Synchronisez le certificat sur le coordinateur de pool avec tous les hôtes du pool :

      xe pool-certificate-sync
<!--NeedCopy-->

    L’exécution de la commande pool-certificate-sync sur le coordinateur synchronise les certificats et les listes de révocation de certificats sur tous les hôtes du pool avec le coordinateur du pool. Cette action garantit que tous les hôtes du pool utilisent les mêmes certificats.

  6. Demandez à XenServer de vérifier un certificat avant de se connecter à l’appliance virtuelle d’équilibrage de la charge de travail. Exécutez la commande suivante sur le coordinateur de pool :

      xe pool-param-set wlb-verify-cert=true uuid=uuid_of_pool
<!--NeedCopy-->

    Conseil :

    Appuyez sur la touche Tab pour remplir automatiquement l’UUID du pool.

  7. Si vous avez spécifié une adresse IP dans le Se connecter à WLB avant d’activer la vérification des certificats, vous êtes peut-être invité à reconnecter le pool à l’équilibrage de la charge de travail.

    Spécifiez le nom de domaine complet de l’appliance d’équilibrage de la charge de travail dans Adresse dans le Se connecter à WLB exactement comme elle apparaît dans le nom commun du certificat. Entrez le nom de domaine complet pour vous assurer que le nom commun correspond au nom utilisé par XenServer pour se connecter.

Dépannage

  • La vérification des certificats est activée par défaut sur votre pool. Désactivez la vérification des certificats si votre pool ne peut pas se connecter à l’équilibrage de la charge de travail :

    1. Obtenez l’UUID de la piscine :

        xe pool-list
<!--NeedCopy-->

    2. Désactiver la vérification du certificat :

        xe pool-param-set wlb-verify-cert=false uuid=uuid_of_pool
<!--NeedCopy-->

    Si votre pool peut se connecter à l’équilibrage de la charge de travail avec la vérification de certificat désactivée, le problème provient de la configuration de votre certificat. S’il ne peut pas se connecter, le problème provient de vos informations d’identification d’équilibrage de la charge de travail ou de votre connexion réseau. Contactez l’assistance ou consultez Résoudre les problèmes d’équilibrage de la charge de travail pour plus d’informations.

  • Certaines autorités de certification commerciales fournissent des outils pour vérifier que le certificat est correctement installé. Envisagez d’exécuter ces outils si ces procédures ne permettent pas d’isoler le problème. Si ces outils nécessitent la spécification d’un port TLS, spécifiez le port 8012 ou le port que vous avez défini lors de la configuration de l’équilibrage de la charge de travail.

  • Si l’icône WLB affiche une erreur de connexion, il peut y avoir un conflit entre le certificat Nom commun et le nom de l’appliance virtuelle d’équilibrage de la charge de travail. Le nom du dispositif virtuel d’équilibrage de la charge de travail et le nom commun du certificat doivent correspondre exactement.

Pour plus d’informations, consultez Dépannage.

Certificats pour l’équilibrage de la charge de travail
October 24, 2024
Contributeur: 
X X
October 24, 2024
Contributeur: 
X X

Dans cet article

Commentaires sur le site | Your privacy choices footer linkVos préférences de confidentialité | Confidentialité et conditions légales | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.