Замена сертификата на VMware vCSA 6.x

Статей по замене сертификата на vCSA 6.5/6.7 достаточно много (навскидку раз, два).

Решил поделиться нашим корпоративным опытом на основе статьи из Wiki от Артема. Данная статья покрывает замену сертификата для самого vCenter Server (machine certificate). Остальные сертификаты остаются неизменными!

1) Создайте резервную копию VMware vCSA с помощью встроенного инструмента. Несмотря на достаточно хорошо задокументированный путь есть вероятность разломать vCSA (https://www.youtube.com/watch?v=r05k2AeQgcU).

2) Сделайте запрос на сертификат через certificate-manager

В каталоге /etc/vmware-sso/keys/ получаем файлы с закрытым ключом и запросом на сертификат в файле (vmca_issued_csr.csr). Данный файл нужно скачать для генерации сертификата.

3) Для скачивания запроса можно воспользоваться WinSCP, однако по умолчанию он к vCSA не подключится.

Варианта два:

– узнать расположение sftp-server

и указать его в настройках WinSCP перед подключением

– подключиться по ssh, зайти в shell и сменить Shell

в целях безопасности после скачивания файлов и заливки готовых открытых ключей Shell рекомендуется сменить обратно

4) Итак, вы скачали файл запроса. Для выпуска сертификата вам потребуется кастомизированный (на базе WebServer) шаблон

В результате вы получаете сертификат (он же открытый ключ).

5) Делаем complete chain file, в нашем случае это три сертификата. Сертификат, который получили от запроса; саб сертификат и рут сертификат, согласно со статьей.

Также нужно приготовить сертификат “подписчика”, содержащий сертификаты №№2 и 3.

В итоге мы получаем два chain-файла, которые копируем в vCSA. Если меняли Shell на третьем шаге, можете вернуть его назад.

6) Снова запускаем certificate-manager

PROFIT.

3 thoughts on “Замена сертификата на VMware vCSA 6.x”

  1. Эммм… А почему бы не зайти в веб-клиенте “Administration -> Certificate Management” и там нажать “replace” и указать файлы сертификата и ключа?

Leave a Reply

Your email address will not be published. Required fields are marked *