Reemplazando los certificados en vSphere 6.5

Para poder gestionar los certificados en vSphere 6.5, veremos cómo usar la herramienta que tenemos parara administrar la Entidad de Certificados de vCenter Server. Debemos hacer que la CA que trae el PSC sea una Entidad subordinada de nuestra propia CA del dominio y genere certificados en los cuales sí confiemos y así ni los navegadores confiarán y demás dependencias. Al final del documento veremos cómo cambiar los certificados de ESXi y vCenter.

 

En este documento usaremos la VMware Certificate Authority o VMCA que trae embebida vCenter Server Appliance!

 

vCenter CA cómo subordinada de la nuestra

 

Lo primero será tener un servidor ron el rol obviamente de una CA instalada y configurada, abriremos la consola de administración en Windows y verificar que tenemos disponible la plantilla de “Entidad de certificación subordinada” dentro de las Plantillas.

 

El proceso lo haremos en un vCSA, pero el proceso bajo vCenter con Windows es similar, tenemos la misma herramienta. Bueno, nos logueamos mediante SSH en el virtual appliance, creamos una carpeta para dejar los certificados y ejecutamos la herramienta de gestión de certificados:

mkdir /root/SSLCerts</p>
/usr/lib/vmware-vmca/bin/certificate-manager

 

 

En la herramienta de gestión de certificados, pulsamos “2” para reemplazar el certificado Raiz de VMCA con uno propio,

 

Opciones:

N – para no generar el certificado con los datos del archivo de config.

Introducimos los credenciales de administrator@vsphere.local

E introducimos los datos del certificado que nos a pidiendo y recordar escribir bien el Hostname que corresponda con el FQDN

Y seleccionamos “1” para generar el CSR

 

Especificamos el directorio donde dejará los certificados: /root/SSLCerts

Y pulsamos “2” para salir,

 

Verificamos lo que nos ha dejado, tenemos un fichero con la clave privada y otro con el CSR, hacemos un cat sobre el fichero CSR y copiamos la solicitud del certificado!

 

Sobre la web de gestión de certificados de Active Directory, http://fqdn/certsrv normalmente. Iremos a “Solicitar un certificado”,

 

Pegamos el CSR que tenemos copiado y seleccionamos como plantilla de certificado “Entidad de certificación subordinada” & pulsamos en “Enviar”,

 

También nos tendremos que “Descargar el certificado de la CA” en Base 64, lo podremos encontrar en el ‘Home’ del portal de certificados del AD.

 

Sobre la carpeta /root/SSLCerts/

touch vmca_signing_cert.cer</p>
vi vmca_signing_cert.cer

 

Editamos como vemos con ‘vi’ un fichero al que le deberemos pegar los certificados que hemos generado en los pasos anteriores. Pegaremos primero el certificado del vCenter y a continuación el certificado de la CA de nuestro dominio.

Grabamos & salimos con :wq

 

Verificamos los ficheros que tenemos… con ‘ls -ll’.

 

Y lanzamos de nuevo el Certificate Manager de vSphere para finalizar el proceso e instalarle el certificado que acabamos de crear

/usr/lib/vmware-vmca/bin/certificate-manager

Opción “2” para reemplazar el certificado raíz de VMCA.

Introducimos un usuario con privilegios, normalmente los de administrator@vsphere.local

Opción “2” para importar el certificado que acabamos de generar.

Introducimos el fichero del certificado: /root/CertSSL/vmcsa_signing_cert.cer

Introducimos el fichero de la clave privada: /root/CertSSL/vmcsa_issued_key.key

Y – Para confirmar y reemplazar el certificado con este.

 

Y esperamos unos cuantos minutos mientras acaba el proceso de instalación del certificado en todos los servicios y los reinicia para recargar!

 

Podremos verificar que el navegador no da ya errores y el certificado es totalmente válido! Además vemos la cadena de certificación,

 

Que ojo, el certificado de la CA Subordinada nos lo deberemos instalar en todos los equipos del dominio para que confíen en él, o instalarlo manualmente, pero es más fácil con una GPO!

Reemplazando el certificado en los hosts

 

Para reemplazar un certificado en un host, lo haremos de manera muy sencilla, lo seleccionamos y desde “Configurar” > “Sistema” > “Certificados”, pulsaremos en “Actualizar certificados de CA”,

 

Seleccionamos “Si”,

 

Y ahora ya podremos pulsar en “Renovar” para reemplazar el certificado!

 

“Si” para continuar,

 

Si abrimos un navegador contra un host ESXi que hayamos modificado, podremos ver cómo tenemos un certificado totalmente válido y de confianza, donde se lo ha firmado la CA del VMCA de nuestro PSC!

Héctor Herrero