Neste documento veremos como, de uma forma simples e rápida, podemos alterar os certificados atribuídos ao nosso servidor VMware vCenter, ainda que não apenas isso, uma vez que o vSphere 6.0 Certificate Manager é a nova ferramenta da VMware com a qual podemos realizar qualquer gestão que necessitemos com certificados no vSphere!!!

O que faremos neste artigo será substituir os certificados que o vCenter traz por defeito 6.0, gerados pela sua VMware Certificate Authority (VMCA), substituiremo-los por certificados válidos, sejam eles assinados por uma CA de confiança ou pela CA da nossa organização, para que, internamente, utilizemos certificados válidos.

A primeira coisa a fazer será editar o ficheiro 'certool.cfg'’ que podremos encontrar en ‘%ProgramFiles%\VMware\vCenter Server\vmcad\’ en el caso de que dispongamos vCenter bajo Windows o en ‘/usr/lib/vmware-vmca/bin/’ en el caso de utilizar el appliance de VMware. Editaremos el fichero de configuración introduciendo los datos correctos para generar el CSR posteriormente.

Ejecutaremos el script ‘certificate-manager.bat’ (Win) o ‘./certificate-manager’ (Lin) para lanzar la utilidad de gestión de certificados, seleccionamos ‘1. Replace the Machine SSL certificate with a Custom CA Certificate’ para reemplazar el certificado SSL de la máquina con uno personalizado.

Seleccionamos de nuevo ‘1’ para generar un nuevo CSR o archivo de solicitud de certificado en base a la configuración introducida en el fichero de configuración, nos indicará que especifiquemos una carpeta donde lo guardará (en mi caso 'C:\Certificados'). Y una vez generado, saldremos del asistente con '2’ y nos levaremos los ficheiros gerados a uma CA de confiança para firmar e gerar certificados y claves!

En este caso utilizaré una CA de Microsoft, que es la que se usa na minha organização, pegamos el contenido del fichero 'machine_ssl.csr’ y generamos el certificado como es tradicional.

Debemos recordar, que tenemos que bajar el certificado codificado en Base64, lo guardaremos como 'rui.crt’ en la misma carpeta ('C:\Certificados').

Além disso, necesitaremos la cadena de certificados de la entidad de certificados (CA) que nos está a gerar o certificado, nos lo descargamos pulsando en 'Descargar cadena de certificados de CA', também em Base 64 e guardamo-lo com o nome 'cachain.p7b'.

Nada mau, sobre o ficheiro recentemente descarregado, lo executamos, e exportamos os certificados das CA que tivermos,

Tal como anteriormente, em Base 64, guardamo-lo como tudo na nossa pasta de certificados ('C:\Certificados'), guardamo-lo como 'Root64.cer'.

E não restará mais nada a não ser instalar o certificado recém-gerado, voltamos a executar a ferramenta de certificados do vSphere 6, selecionamos a opção '1'’ de novo para substituir o certificado existente por um personalizado, selecionamos desta vez o '2'’ para importar um certificado personalizado e as suas chaves para substituir o certificado SSL existente. Não restará mais nada a não ser introduzir os paths dos ficheiros correspondentes & confirmar, No meu caso:

• Certificado personalizado para machine SSL, seria o ficheiro 'rui.crt'.
• Chave personalizada para o SSL da máquina, seria o ficheiro 'machine_ssl.key'.
• Certificado de assinatura do certificado SSL da máquina, seria o ficheiro 'Root64.cer'.