VMware vSphere 6 Certificate Manager
En este documento veremos cómo de una forma sencilla y rápida podremos cambiar los certificados asignados a nuestro servidor VMware vCenter, aún que no sólo eso, ya que vSphere 6.0 Certificate Manager es la nueva herramienta de VMware con la que podremos realizar cualquier gestión que necesitemos con certificados en vSphere!!!
Lo que haremos en este artículo será sustituir los certificados que trae por defecto vCenter 6.0, generados por su VMware Certificate Authority (VMCA), los sustituiremos por unos válidos, ya sean firmados por una CA de confianza o por la CA de nuestra organización, para que de forma interna utilicemos certificados válidos.
Lo primero de todo será editar el fichero ‘certool.cfg’ que podremos encontrar en ‘%ProgramFiles%\VMware\vCenter Server\vmcad\’ en el caso de que dispongamos vCenter bajo Windows o en ‘/usr/lib/vmware-vmca/bin/’ en el caso de utilizar el appliance de VMware. Editaremos el fichero de configuración introduciendo los datos correctos para generar el CSR posteriormente.
Ejecutaremos el script ‘certificate-manager.bat’ (Win) o ‘./certificate-manager’ (Lin) para lanzar la utilidad de gestión de certificados, seleccionamos ‘1. Replace the Machine SSL certificate with a Custom CA Certificate’ para reemplazar el certificado SSL de la máquina con uno personalizado.
Seleccionamos de nuevo ‘1’ para generar un nuevo CSR o archivo de solicitud de certificado en base a la configuración introducida en el fichero de configuración, nos indicará que especifiquemos una carpeta donde lo guardará (en mi caso ‘C:\Certificados’). Y una vez generado, saldremos del asistente con ‘2’ y nos llevaremos los archivos generados a una CA de confianza para firmar y generar certificados y claves!
En este caso utilizaré una CA de Microsoft, que es la que se usa en mi organización, pegamos el contenido del fichero ‘machine_ssl.csr’ y generamos el certificado como es tradicional.
Debemos recordar, que tenemos que bajar el certificado codificado en Base64, lo guardaremos como ‘rui.crt’ en la misma carpeta (‘C:\Certificados’).
Además, necesitaremos la cadena de certificados de la entidad de certificados (CA) que nos está generando el certificado, nos lo descargamos pulsando en ‘Descargar cadena de certificados de CA’, también en Base 64 y lo guardamos con el nombre de ‘cachain.p7b’.
Bien, sobre el archivo recién descargado, lo ejecutamos, y exportamos los certificados de las CA que tengamos,
Al igual que anteriormente, en Base 64, lo guardamos como todo en nuestra carpeta de certificados (‘C:\Certificados’), lo guardamos como ‘Root64.cer’.
Y no quedará más que instalar el certificado recién generado, volvemos a ejecutar la herramienta de certificados de vSphere 6, seleccionamos la opción ‘1’ de nuevo para reemplazar el certificado existente con uno personalizado, seleccionamos esta vez la ‘2’ para importar un certificado personalizado y sus claves para reemplazar el certificado SSL existente. No quedará más que introducir los paths de los archivos correspondientes & confirmar, en mi caso:
- Custom certificate for machine SSL, sería el fichero ‘rui.crt’.
- Custom key for machine SSL, sería el fichero ‘machine_ssl.key’.
- Signing certificate of the machine SSL certificate, sería el fichero ‘Root64.cer’.