Замена сертификатов на vSphere 4.1

Как вы знаете, при установке ESX(i), vCenter, Update Manager и т.д. системам выдается самоподписанный сертификат. Если проблемы безопасности при подключении по HTTPS вас не волнуют, то вы можете их оставить. VMware такой вариант считает вполне поддерживаемым. Но если вы все же захотите их заменить – то вам сюда 🙂

Поехали!

Для замены сертификатов нам потребуется программа генерации запросов к центру сертификации (ЦС). В документации для этого используется OpenSSL.

Замена сертификата на vCenter Server 4.1 [doc]

Ознакомимся с русскоязычной инструкцией от Сандро.

1) Создаем приватный ключ и запрос к ЦС. В ходе интерактивного диалога указываем Common name (для кого запрашиваем сертификат)

openssl.exe req -newkey rsa:1024 -keyout rui.key -nodes -out rui.csr

2) Заходим на наш ЦС через веб и запрашиваем сертификат

Request -> Advanced -> Submit a certificate request by… -> Вставляете в поле содержимое файла rui.csr. Шаблон для сертификата – вебсервер.

3) Полученный сертификат сохраняете в каталог с rui.key в формате “Base 64” под именем rui.crt.

4) Для vCenter Server и Update Manager нам необходим pfx-файл

openssl.exe pkcs12 -export -in rui.crt -inkey rui.key -name rui -passout pass:testpassword -out rui.pfx

Обратите внимание на пароль – он должен остаться testpassword, иначе перестанут работать плагины.

5) Полученные rui.(crt / key / pfx) копируем в каталог C:\Documents and Settings\All Users\Application Data\VMware\VMware VirtualCenter\SSL, сохранив предыдущие копии.

6) Пройдем по ссылке https://VCENTER/mob/?moid=vpxd‐securitymanager&vmodl=1

7) После ввода учетных данных нажимаем ReloadSSLCertificate, а затем Invoke Method.

8 ) Перезапускаем VMware VirtualCenter Management Webservices

net stop vctomcat

net start vctomcat

Все 🙂

После замены сертификата придется перередактировать все наборы кастомизаций ОС, так как они шифровались ключом vCenter.

Замена сертификата на Update Manager

Для замены сертификата на Update Manager нам потребуются те же три файла, что и для vCenter Server. С руководством по замене можно ознакомиться здесь. Там написано много, но это исходя из того, что у вас нет сертификата на vCenter Server, либо Update Manager установлен отдельно.

1) Останавливаем службу VMware vCenter Update Manager.

2) Создаем резервные копии сертификатов и помещаем новые по адресу C:\Program Files (x86)\VMware\Infrastructure\Update Manager\SSL

Подразумевается, что Update Manager установлен в 64битной ОС.

3) Запускаем VMwareUpdateManagerUtility.exe и выполняем процедуру замены сертификатов.

4) Запускаем службу обратно.

Замена сертификатов на ESX(i) 4.1

Для ESX(i) 4.1 потребуется только два файла – rui.crt и rui.key. Процедура их получения описана выше.

ESX 4.1

1) Перезаписываем файлы /etc/vmware/ssl/rui.key и /etc/vmware/ssl/rui.crt полученными файлами

2) Проверяем, что мы получили корректный файл сертификата

cat -v /etc/vmware/ssl/rui.crt

Если у вас нет в файле ^M, то можете сразу перейти к пункту №4.

3) Удаляем ^M, воспользовавшись еще одной инструкцией.

tr -d ‘\r’ < /etc/vmware/ssl/rui.crt > /etc/vmware/ssl/rui-fixed.crt

mv /etc/vmware/ssl/rui-fixed.crt /etc/vmware/ssl/rui.crt

4) Перезапускаете службы хоста

service mgmt-vmware restart

service vmware-vmkauthd restart

5) Переподключаете сервер к vCenter Server.

ESXi 4.1

1) Загружаете новые сертификаты через vifs либо по https://

vifs –server <hostname> –username <username> –put rui.crt /host/ssl_cert
vifs –server <hostname> –username <username> –put rui.key /host/ssl_key

Сертификат в https://hostname/host/ssl_crt.
Ключ в https://hostname/host/sslkey.

2) Перезапускаете агентов управления (Restart management agents)

3) Переподключаем хост к vCenter.

Выводы

В целом, процесс замены сертификатов стал более дружелюбным. В vCenter 4.0 было необходимо пересоздавать пароль к базе данных, а Update Manager и вовсе переустанавливать.

Также, после замены всех сертификатов вы можете запретить vCenter Server работать с самоподписанными сертификатами.

P.S. По мере накопления опыта статья будет пополняться.

2 thoughts on “Замена сертификатов на vSphere 4.1”

  1. Прошу прощения, а зачем это нужно в реальной производственной среде?

Leave a Reply

Your email address will not be published. Required fields are marked *