Voici quelques lignes relatives à une problématique de plus en plus présente et à laquelle vous risquez d’être fondamentalement confrontée…

Lorsque vous vous connectez sur votre NSX-T manager sous Google Chrome sous macOS Catalina, le message d’erreur suivant apparaît :

A cet instant précis, vous n’avez pas de possibilité, sur la page affichée, de passer l’erreur. Celle-ci provient d’un durcissement des règles concernant les certificats. Les certificats ayant effectivement été générés depuis le 1er Mars 2018 ne sont plus valides passé un délai de 825 jours ! (Cela a été voté par le CA/Browser Forum en Mars 2017.)

Avec macOS Catalina (et iOS 13), Apple a implémenté cette limitation et Google chrome affiche cette erreur en cas de connexion.

Contournement

Il existe cependant plusieurs façons de contourner le problème.

Solution n°1 :

Utiliser un autre navigateur : Firefox ou Safari. A aujourd’hui, il n’y a pas de blocage sous ces navigateurs.

Solution n°2 :

Utiliser le Cheat code thisisunsafe dans Google Chrome qui permet de by-passer les erreurs de certificat (fonctionne pour les différentes erreurs de certificats).

Solution n°3 :

Lancer Google Chrome avec la commande –ignore-certificat-errors (option peu recommandée sur le long terme).

Solution n°4 :

Récupérer le certificat public du NSX-T Manager (via un drag and drop depuis l’icône « certificat » dans Google Chrome). Puis l’importer dans « KeyChains » dans la catégorie « Certificates ».

Il suffira alors de relancer Chrome et vous pourrez accéder à la page sans erreur !

Enfin, l’ultime solution est la mise en place d’un certificat issue de votre propre Autorité de Certification ( Prochain  sujet d’un billet sur NSX-T… ). En attendant, n’hésitez pas à consulter la documentation NSX-T sur le sujet.

Merci à Romain pour le screenshot

Alexis La Goutte

Rédigé par

Alexis La Goutte

Alexis La Goutte est depuis 6 ans consultant Réseau & Sécurité chez Cheops Technology. Il intervient chez des ETI de l’ouest et quelques grands comptes nationaux. Spécialisé dans le réseau, et plus particulièrement sur les produits Aruba, et dans la virtualisation & sécurisation du réseau VMware NSX. Alexis est certifié Aruba Certified Mobility eXpert (ACMX) et Aruba Certified ClearPass Professional (ACCP) également membre des programmes Aruba Ambassador Partner et MVP Airheads depuis 2017.
Lors qu’il lui reste du temps, il est Core dev pour Wireshark (contributeur au dissector WiFi, TLS, QUIC…) depuis 2011. Il contribue aussi au module PowerNSX qui permet l’automatisation NSX via PowerShell. il y a aussi crée en 2018, PowerAruba qui regroupe différents modules concernant l’automatisation (utilisation des API REST) des produits Aruba/HPE (PowerArubSW), pour ArubaCX (PowerArubaCX) et enfin pour ClearPass (PowerArubaCP).
Depuis 2020, Alexis est devenu vExpert, et reconnu aussi dans la catégorie vExpert NSX.