Skip to content

Déployer un certificat SSL émis par la PKI Windows sur un cluster Nutanix

Picture of mindtech

mindtech

L'équipe Mindtech !

Au sein de cet article

Retrouvez les insights de vos infrastructures, dans MyMindtech

MyMindtech centralise les informations essentielles de vos infrastructures pour vous offrir une vision claire et exploitable.

No comment yet, add your voice below!

Add a Comment

Your email address will not be published. Required fields are marked *

Contexte et objectifs

Le déploiement d’un certificat SSL émis par une infrastructure PKI Windows sur un cluster Nutanix permet de sécuriser la communication entre les composants du cluster ainsi qu’avec l’extérieur. L’utilisation du protocole HTTPS avec un certificat provenant d’une autorité de certification (CA) interne garantit l’intégrité, la confidentialité et l’authenticité des échanges réseau. Ce guide fournit une procédure détaillée pour intégrer un certificat SSL personnalisé au sein d’un environnement Nutanix, à l’aide de services PKI Microsoft.

La solution s’adresse aux administrateurs système, ingénieurs DevOps ou toute personne en charge de la gestion d’un cluster Nutanix avec une exigence de sécurité renforcée. En consolidant l’usage d’une PKI interne, cette approche répond également aux bonnes pratiques de conformité réglementaire (ISO 27001, ANSSI, etc.).

Prérequis

  • Accès administrateur à Prism Central ou Prism Element du cluster Nutanix
  • Cluster Nutanix fonctionnel (AOS 5.x ou supérieur recommandé)
  • Infrastructure PKI Windows opérationnelle (rôle AD Certificate Services installé)
  • Accès à la console Web de l’autorité de certification (https://nom_CA/certsrv)
  • Poste client Windows avec OpenSSL installé (facultatif mais recommandé)
  • Connexion externe entre la PKI et le cluster Nutanix (réseaux interconnectés)

Étapes

1. Générer une demande de certificat (CSR) sur Nutanix

Via SSH sur une CVM, commencez par générer un fichier CSR contenant les informations du cluster à certifier.

# Connexion au cluster Nutanix via SSH
ssh nutanix@

# Générer une clé privée si nécessaire
openssl genrsa -out nutanix.key 2048

# Créer le CSR avec les bons attributs (CN, SAN)
openssl req -new -key nutanix.key -out nutanix.csr \
-subj "/C=FR/ST=IDF/L=Paris/O=Organisation/CN=cluster-nutanix.local"

💡 Utilisez le paramètre `-subj` pour éviter les invites interactives. Le CN (Common Name) doit correspondre au FQDN du cluster.

2. Soumettre le CSR via la PKI Windows

Utilisez l’interface web de la CA pour soumettre manuellement le fichier CSR au format PEM.

  1. Accédez à l’URL de la CA interne : https://nom_CA/certsrv
  2. Choisissez l’option Demander un certificatSoumettre une requête avancée
  3. Collez le contenu du fichier `nutanix.csr` dans le champ prévu
  4. Sélectionnez le modèle de certificat (par ex : Web Server), puis validez

⚠️ Si aucun modèle disponible n’autorise les requêtes manuelles, un administrateur AD doit ajuster les droits dans la Configuration de la CA.

3. Télécharger le certificat émis

Une fois approuvé manuellement ou automatiquement, le certificat peut être téléchargé au format Base64 ou DER.

# Exemple pour le format Base64
Téléchargez le fichier : nutanix.crt

# (Optionnel) Convertir au format PEM
openssl x509 -in nutanix.crt -out nutanix.pem -outform PEM

💡 Il est recommandé de télécharger aussi la chaîne complète de certificats pour éviter les warnings de navigateur.

4. Charger le certificat dans Prism

Connectez-vous à Prism (Element ou Central) et accédez à l’onglet de gestion des certificats.

  1. Menu : SettingsCertificates
  2. Cliquez sur Update certificate
  3. Collez le contenu du fichier certificat (nutanix.crt ou pem)
  4. Collez également la key privée (nutanix.key)
  5. Ajoutez au besoin la chaîne intermédiaire de certificats (bundle CA)

Après application, Prism redémarre le service web local avec le nouveau certificat.

5. Vérifier la chaîne de certificats

Assurez-vous que le cluster présente une chaîne complète et valablement signée.

openssl s_client -connect cluster-nutanix.local:9440 -showcerts

💡 L’option -showcerts permet d’inspecter si le certificat intermédiaire est bien inclus.

Vérification

Pour vérifier que le certificat SSL a bien été appliqué et reconnu :

# Depuis un navigateur sécurisé
Naviguer vers : https://cluster-nutanix.local:9440

# Vérification via OpenSSL
openssl s_client -connect cluster-nutanix.local:9440

Le CN du certificat doit correspondre au nom DNS, le certificat ne doit pas afficher d’erreur, et le navigateur doit afficher une connexion sécurisée (cadenas).

Nettoyage / rollback

Pour revenir à la configuration par défaut :

  1. Accédez à Prism → Settings → Certificates
  2. Utilisez l’option Revert to default
  3. Redémarrez l’interface Prism si nécessaire

Il est aussi possible de supprimer manuellement les fichiers clés depuis le système si vous êtes en SSH.

Conclusion

Vous avez réussi à intégrer un certificat SSL personnalisé, émis par une infrastructure PKI Windows, sur un cluster Nutanix. Cette configuration renforce la sécurité des échanges via HTTPS en s’appuyant sur une chaîne de certification maîtrisée.

Les prochaines étapes recommandées incluent la mise en place d’une surveillance de l’expiration du certificat, le renouvellement automatisé via scripts ou API Prism Central, ainsi que l’audit régulier des configurations SSL/TLS à l’aide d’outils comme SSLlabs ou Nessus.

À ne pas manquer

Déploiement & Configuration

Déployer Kasten sur Kubernetes
Cybersécurité & Conformité

NIS2 et DORA : Synergie et interactions
Cybersécurité & Conformité

DORA : Obligations clés pour la résilience opérationnelle numérique

Social Chat is free, download and try it now here!