Sostituzione dei certificati in vSphere 6.5

Compatibile con la stampa, PDF & Email

Per poter gestire i certificati in vSphere 6.5, vedremo come utilizzare il tool che abbiamo a disposizione per gestire l'Autorità di Certificazione di vCenter Server. Dobbiamo fare della CA che porta il PSC un'entità subordinata della nostra CA del dominio e generare certificati in cui ci fidiamo e quindi nemmeno i browser si fideranno e altre dipendenze. Alla fine del documento, vedremo come modificare i certificati ESXi e vCenter.

 

In questo documento, utilizzeremo l'autorità di certificazione VMware o VMCA incorporata nell'appliance vCenter Server!

 

vCenter CA come subordinato al nostro

 

La prima cosa sarà avere un server nel ruolo di CA installato e configurato, apriremo la console di amministrazione in Windows e verificheremo di avere il modello "Autorità di certificazione subordinata" disponibile all'interno dei Modelli.

 

Il processo verrà eseguito in una vCSA, ma il processo in vCenter con Windows è simile, Abbiamo lo stesso strumento. Bene, accediamo tramite SSH sull'appliance virtuale, Creiamo una cartella per rilasciare i certificati ed eseguiamo lo strumento di gestione dei certificati:

[Codice sorgente]mkdir /radice/SSLCerts</p>
/usr/lib/vmware-vmca/bin/certificate-manager[/Codice sorgente]

 

 

Nello strumento di gestione dei certificati, premiamo "2" per sostituire il certificato radice VMCA con il nostro,

 

Opzioni:

N – Per non generare il certificato con i dati nel file di configurazione.

Inseriamo le credenziali di Annuncio***********@vs*****.local

E inseriamo i dati del certificato che ci chiede e ci ricordiamo di scrivere bene l'Hostname che corrisponde all'FQDN

E seleziona "1" per generare il CSR

 

Specifichiamo la directory in cui lascerai i certificati: /radice/SSLCerts

E premere "2" per uscire,

 

Verifichiamo ciò che ci ha lasciato, abbiamo un file con la chiave privata e un altro con la CSR, facciamo un gatto sul file CSR e copiamo la richiesta di certificato!

 

Informazioni sul Web Gestione certificati Active Directory, Protocollo HTTP://FQDN/CERTSRV normalmente. Andremo su "Richiedi un certificato",

 

Incolliamo il CSR che abbiamo copiato e selezioniamo "Autorità di certificazione subordinata" come modello di certificato & clicca su "Invia",

 

Dovremo anche "Scarica il certificato CA" in Base 64, lo possiamo trovare nella 'Home' del portale dei certificati AD.

 

Informazioni sulla cartella /root/SSLCerts/

[Codice sorgente]tocca vmca_signing_cert.cer</p>
Ho visto vmca_signing_cert.cer[/Codice sorgente]

 

Modifichiamo, come possiamo vedere, con 'vi' un file in cui dobbiamo incollare i certificati che abbiamo generato nei passaggi precedenti. Incolleremo prima il certificato vCenter e poi il certificato CA del nostro dominio.

Registrato & Usciamo con :WQ

 

Verifichiamo i file in nostro possesso... Con 'ls -ll'.

 

E abbiamo riavviato vSphere Certificate Manager per completare il processo e installare il certificato che abbiamo appena creato

[Codice sorgente]/usr/lib/vmware-vmca/bin/certificate-manager[/Codice sorgente]

Opzione "2" per sostituire il certificato radice VMCA.

Inseriamo un utente privilegiato, di solito quelli di Annuncio***********@vs*****.local

Opzione "2" per importare il certificato appena generato.

Immettere il file del certificato: /radice/CertSSL/vmcsa_signing_cert.cer

Immettere il file della chiave privata: /radice/CertSSL/vmcsa_issued_key.key

Y – Per confermare e sostituire il certificato con questo.

 

E aspettiamo qualche minuto mentre il processo di installazione del certificato termina in tutti i servizi e li riavvia per ricaricarli!

 

Saremo in grado di verificare che il browser non dia più errori e che il certificato sia pienamente valido! Vediamo anche la filiera delle certificazioni,

 

Che occhio, il certificato della CA subordinata deve essere installato in tutti i computer del dominio in modo che lo considerino attendibile, o installarlo manualmente, ma è più facile con un oggetto Criteri di gruppo!

Sostituzione del certificato negli host

 

Per sostituire un certificato in un host, Lo faremo in modo molto semplice, selezionalo e da "Configura" > "Sistema" > "Certificati", clicca su "Aggiorna certificati CA",

 

Seleziona "Sì",

 

E ora possiamo fare clic su "Rinnova" per sostituire il certificato!

 

"Sì" per continuare,

 

Se apriamo un browser su un host ESXi che abbiamo modificato, Saremo in grado di vedere come abbiamo un certificato completamente valido e affidabile, dove è stato firmato dalla VMCA CA del nostro PSC!

Post consigliati

Accessi con SmartCard ad Active Directory
Leggere
Blocco dell'accesso agli host VMware ESXi e vCSA
Leggere
VPN con Citrix NetScaler III - Autenticazione con certificati
Leggere
VPN con Citrix NetScaler II - Richiesta di certificati per l'accesso
Leggere

Autore

presso Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, Non esitate a contattarmi, Cercherò di aiutarti ogni volta che potrò, Condividere è vivere ;) . Goditi i documenti!!!

Nagios - Monitoraggio dei contatori di Windows

6 Febbraio de 2018

Backup di vCenter Server Appliance

14 Febbraio de 2018