Reemplazando los certificados en vSphere 6.5

Inprimatzeko Lagunkoa, PDF eta Email

Para poder gestionar los certificados en vSphere 6.5, veremos cómo usar la herramienta que tenemos parara administrar la Entidad de Certificados de vCenter Server. Debemos hacer que la CA que trae el PSC sea una Entidad subordinada de nuestra propia CA del dominio y genere certificados en los cuales sí confiemos y así ni los navegadores confiarán y demás dependencias. Al final del documento veremos cómo cambiar los certificados de ESXi y vCenter.

 

En este documento usaremos la VMware Certificate Authority o VMCA que trae embebida vCenter Server Appliance!

 

vCenter CA cómo subordinada de la nuestra

 

Lo primero será tener un servidor ron el rol obviamente de una CA instalada y configurada, Windows-en kudeaketa-kontsola zabalduko dugu eta egiaztatuko dugu 'Azpiko ziurtagiri-entitatearen' plantilla eskuragarri dugula Plantillen barruan.

 

Prozesua vCSA batean egingo dugu, baina prozesua vCenter-en Windows-ekin antzekoa da, tresna bera dugu. Onena, SSH bidez logeatzen gara appliance birtualean, Karpetan sortzen dugu ziurtagirientzat eta ziurtagiriak kudeatzeko tresna exekutatzen dugu:

[sourcecode]mkdir /root/SSLCerts</p>
/usr/lib/vmware-vmca/bin/certificate-manager[/sourcecode]

 

 

Ziurtagiriak kudeatzeko tresnan, '2' sakatzen dugu VMCA-ren Sustrai Ziurtagiria ordezkatzeko geurearekin,

 

Opciones:

N – fitxategiaren config datuekin ziurtagiria ez sortzeko.

Sartutzen ditugu kredentzialak ad***********@*****re.local

E introducimos los datos del certificado que nos a pidiendo y recordar escribir bien el Hostname que corresponda con el FQDN

Y seleccionamos “1” para generar el CSR

 

Especificamos el directorio donde dejará los certificados: /root/SSLCerts

Y pulsamos “2” para salir,

 

Verificamos lo que nos ha dejado, tenemos un fichero con la clave privada y otro con el CSR, hacemos un cat sobre el fichero CSR y copiamos la solicitud del certificado!

 

Sobre la web de gestión de certificados de Active Directory, http://fqdn/certsrv normalmente. Iremos a “Solicitar un certificado”,

 

Pegamos el CSR que tenemos copiado y seleccionamos como plantilla de certificado “Entidad de certificación subordinada” & pulsamos en “Enviar”,

 

También nos tendremos que “Descargar el certificado de la CA” en Base 64, lo podremos encontrar en el ‘Home’ del portal de certificados del AD.

 

Sobre la carpeta /root/SSLCerts/

[sourcecode]touch vmca_signing_cert.cer</p>
vi vmca_signing_cert.cer[/sourcecode]

 

Editamos como vemos con ‘vi’ un fichero al que le deberemos pegar los certificados que hemos generado en los pasos anteriores. Pegaremos primero el certificado del vCenter y a continuación el certificado de la CA de nuestro dominio.

Gorde & salimos con :wq

 

Verificamos los ficheros que tenemos… con ‘ls -ll’.

 

Y lanzamos de nuevo el Certificate Manager de vSphere para finalizar el proceso e instalarle el certificado que acabamos de crear

[sourcecode]/usr/lib/vmware-vmca/bin/certificate-manager[/sourcecode]

Opción “2” para reemplazar el certificado raíz de VMCA.

Pribilegioak dituen erabiltzaile bat sartzen dugu, normalean ad***********@*****re.local

'2' Aukera sortu berri dugun ziurtagiria inportatzeko.

Ziurtagirien fitxategia sartzen dugu: /root/CertSSL/vmcsa_signing_cert.cer

Gako pribatua duten fitxategia sartzen dugu: /root/CertSSL/vmcsa_issued_key.key

Bai – Ziurtagiria ordezkatzeko eta berresteko.

 

Eta minutu batzuk itxaroten dugu ziurtagiriaren instalazio prozesua zerbitzu guztietan bukatu arte eta berrabiarazteko!

 

Nabigatzailea ez duela errore gehiagorik ematen eta ziurtagiria guztiz balioduna dela egiaztatu ahal izango dugu! Gainera, ziurtagiri katearen ikusten dugu,

 

Baina kontuz, Azpiko CA-ren ziurtagiria domeinuko gailu guztietan instalatu beharko dugu haren gainean fidatzeko, edo eskuz instalatu, pero es más fácil con una GPO!

Reemplazando el certificado en los hosts

 

Para reemplazar un certificado en un host, lo haremos de manera muy sencilla, lo seleccionamos y desde “Configurar” > “Sistema” > “Certificados”, pulsaremos en “Actualizar certificados de CA”,

 

Seleccionamos “Si”,

 

Y ahora ya podremos pulsar en “Renovar” para reemplazar el certificado!

 

“Si” para continuar,

 

Si abrimos un navegador contra un host ESXi que hayamos modificado, podremos ver cómo tenemos un certificado totalmente válido y de confianza, donde se lo ha firmado la CA del VMCA de nuestro PSC!

Izenburuko mezuak

VPN Citrix NetScaler III-rekin - Ziurtagiriekin autentifikazioa
Irakurri
SmartCardekin saio hasierak Zuzendaritza Aktiboan
Irakurri
Gure VMware ESXi eta vCSA ostatuetara sarbideak blokeatzea
Irakurri
VPN Citrix NetScaler II-rekin - sartutako ziurtagiriak eskatzen
Irakurri

Egilea

por Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, ez zalantzarik izan nirekin harremanetan jartzeko, ahal duzun guztietan laguntzen saiatuko naiz, partekatu ahal dudan guztietan ;) . Dokumentuez gozatu!!!

Nagios - Monitorizando contadores de Windows

6 otsailaren 2018

vCenter Server Appliance babeskopiatzearen artean

14 otsailaren 2018