Neste documento veremos como, de uma forma simples e rápida, podemos alterar os certificados atribuídos ao nosso servidor VMware vCenter, ainda que não apenas isso, uma vez que o vSphere 6.0 Certificate Manager é a nova ferramenta da VMware com a qual podemos realizar qualquer gestão que necessitemos com certificados no vSphere!!!

O que faremos neste artigo será substituir os certificados que o vCenter traz por defeito 6.0, gerados pela sua VMware Certificate Authority (VMCA), substituiremo-los por certificados válidos, sejam eles assinados por uma CA de confiança ou pela CA da nossa organização, para que, internamente, utilizemos certificados válidos.

A primeira coisa a fazer será editar o ficheiro 'certool.cfg'’ que podremos encontrar en ‘%ProgramFiles%\VMware\vCenter Server\vmcad\’ en el caso de que dispongamos vCenter bajo Windows o en ‘/usr/lib/vmware-vmca/bin/’ en el caso de utilizar el appliance de VMware. Editaremos el fichero de configuración introduciendo los datos correctos para generar el CSR posteriormente.

Ejecutaremos el script ‘certificate-manager.bat’ (Win) o ‘./certificate-manager’ (Lin) para lanzar la utilidad de gestión de certificados, seleccionamos ‘1. Replace the Machine SSL certificate with a Custom CA Certificate’ para reemplazar el certificado SSL de la máquina con uno personalizado.

Seleccionamos de nuevo ‘1’ para generar un nuevo CSR o archivo de solicitud de certificado en base a la configuración introducida en el fichero de configuración, nos indicará que especifiquemos una carpeta donde lo guardará (en mi caso ‘C:\Certificados’). Y una vez generado, saldremos del asistente con ‘2’ y nos llevaremos los archivos generados a una CA de confianza para firmar y generar certificados y claves!

En este caso utilizaré una CA de Microsoft, que es la que se usa en mi organización, pegamos el contenido del fichero ‘machine_ssl.csr’ y generamos el certificado como es tradicional.

Debemos recordar, que tenemos que bajar el certificado codificado en Base64, lo guardaremos como ‘rui.crt’ en la misma carpeta (‘C:\Certificados’).

Além disso, necesitaremos la cadena de certificados de la entidad de certificados (CA) que nos está generando el certificado, nos lo descargamos pulsando en ‘Descargar cadena de certificados de CA’, também em Base 64 e guardamo-lo com o nome 'cachain.p7b'.

Nada mau, sobre o ficheiro recentemente descarregado, lo executamos, e exportamos os certificados das CA que tivermos,

Tal como anteriormente, em Base 64, guardamo-lo como tudo na nossa pasta de certificados (‘C:\Certificados’), guardamo-lo como 'Root64.cer'.

E não restará mais nada a não ser instalar o certificado recém-gerado, voltamos a executar a ferramenta de certificados do vSphere 6, selecionamos a opção '1'’ de novo para substituir o certificado existente por um personalizado, selecionamos desta vez o '2'’ para importar um certificado personalizado e as suas chaves para substituir o certificado SSL existente. Não restará mais nada a não ser introduzir os paths dos ficheiros correspondentes & confirmar, No meu caso:

• Certificado personalizado para machine SSL, seria o ficheiro 'rui.crt'.
• Chave personalizada para o SSL da máquina, seria o ficheiro 'machine_ssl.key'.
• Certificado de assinatura do certificado SSL da máquina, seria o ficheiro 'Root64.cer'.