Reemplaçant els certificats en vSphere 6.5

Print Friendly, PDF i correu electrònic

Para poder gestionar els certificats en vSphere 6.5, verem com utilitzar l'elecció que hem parara administrar la Entidad de Certificados de vCenter Server. Hem de fer que la CA que trae el PSC sigui una Entitat subordinada de la nostra pròpia CA del domini i generació certificada en els quals sí confiem i així ni els navegadores confiarán y altres dependències. Al final del documento veremos cómo cambiar los certificados de ESXi y vCenter.

 

En aquest document utilitzarem la VMware Certificate Authority o VMCA que ve integrada amb vCenter Server Appliance!

 

vCenter CA com a subordinada de la nostra

 

El primer serà tenir un servidor amb el rol òbviament d'una CA instal·lada i configurada, obrirem la consola d'administració a Windows i verificarem que tenim disponible la plantilla de 'Entitat de certificació subordinada' dins de les Plantilles.

 

El procés el farem en un vCSA, però el procés sota vCenter amb Windows és similar, tenim la mateixa eina. Bo, ens loguegem mitjançant SSH a l'appliance virtual, creem una carpeta per deixar els certificats i executem l'eina de gestió de certificats:

[sourcecode]mkdir /root/SSLCerts</p>
/usr/lib/vmware-vmca/bin/certificate-manager[/sourcecode]

 

 

A l'eina de gestió de certificats, premem '2' per substituir el certificat Raiz de VMCA per un propi,

 

Opcions:

N – per no generar el certificat amb les dades del fitxer de configuració.

Introduïm les credencials de ad***********@*****re.local

I introduïm les dades del certificat que ens està demanant i recordar d'escriure bé el Nom d'Host que correspongui amb el FQDN

I seleccionem '1' per generar el CSR

 

Especifiquem el directori on deixarà els certificats: /root/SSLCerts

I premem '2' per sortir,

 

Verifiquem el que ens ha deixat, tenim un fitxer amb la clau privada i un altre amb el CSR, fem un cat sobre el fitxer CSR i copiem la sol·licitud del certificat!

 

Sobre la web de gestió de certificats de Active Directory, http://fqdn/certsrv normalment. Anirem a 'Sol·licitar un certificat',

 

Enganxem el CSR que tenim copiat i seleccionem com a plantilla de certificat 'Entitat de certificació subordinada' & pulsarem a 'Enviar',

 

També haurem de 'Descarregar el certificat de la CA' en Base 64, el podrem trobar al 'Home' del portal de certificats de l'AD.

 

Sobre la carpeta /root/SSLCerts/

[sourcecode]touch vmca_signing_cert.cer</p>
vi vmca_signing_cert.cer[/sourcecode]

 

Editem com veiem amb 'vi' un fitxer al qual haurem d'enganxar els certificats que hem generat en els passos anteriors. Enganxarem primer el certificat del vCenter i a continuació el certificat de la CA del nostre domini.

Grabamos & sortim amb :wq

 

Verifiquem els fitxers que tenim… amb 'ls -ll'.

 

Y lanzamos de nuevo el Certificate Manager de vSphere para finalizar el proceso e instalarle el certificado que acabamos de crear

[sourcecode]/usr/lib/vmware-vmca/bin/certificate-manager[/sourcecode]

Opción “2” para reemplazar el certificado raíz de VMCA.

Introducimos un usuario con privilegios, normalmente los de ad***********@*****re.local

Opción “2” para importar el certificado que acabamos de generar.

Introducimos el fichero del certificado: /root/CertSSL/vmcsa_signing_cert.cer

Introducimos el fichero de la clave privada: /root/CertSSL/vmcsa_issued_key.key

Y – Para confirmar y reemplazar el certificado con este.

 

Y esperamos unos cuantos minutos mientras acaba el proceso de instalación del certificado en todos los servicios y los reinicia para recargar!

 

Podremos verificar que el navegador no da ya errores y el certificado es totalmente válido! Además vemos la cadena de certificación,

 

Que ojo, el certificado de la CA Subordinada nos lo deberemos instalar en todos los equipos del dominio para que confíen en él, o instalarlo manualmente, pero es más fácil con una GPO!

Reemplazando el certificado en los hosts

 

Para reemplazar un certificado en un host, lo haremos de manera muy sencilla, lo seleccionamos y desde “Configurar” > “Sistema” > “Certificados”, pulsaremos en “Actualizar certificados de CA”,

 

Seleccionamos “Si”,

 

Y ahora ya podremos pulsar en “Renovar” para reemplazar el certificado!

 

“Si” para continuar,

 

Si abrimos un navegador contra un host ESXi que hayamos modificado, podremos ver cómo tenemos un certificado totalmente válido y de confianza, donde se lo ha firmado la CA del VMCA de nuestro PSC!

Posts recomanats

Inicis de sessió amb SmartCard al Directori Actiu
Llegir
Bloquejant accessos als nostres hosts VMware ESXi i vCSA
Llegir
VPN amb Citrix NetScaler II - Requerint certificats per accedir
Llegir
VPN amb Citrix NetScaler III - Autenticació amb certificats
Llegir

Autor

by Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, no dubtis a contactar amb mi, us intentareu ajudar sempre que pugui, compartir és viure ;) . Gaudir dels documents!!!

Nagis - Monitoritzant comptadors de Windows

6 de February de 2018

Haciendo copia de seguridad de vCenter Server Appliance

14 de February de 2018