Замена сертификата на VMware vCSA 6.x

Статей по замене сертификата на vCSA 6.5/6.7 достаточно много (навскидку раз, два).

Решил поделиться нашим корпоративным опытом на основе статьи из Wiki от Артема. Данная статья покрывает замену сертификата для самого vCenter Server (machine certificate). Остальные сертификаты остаются неизменными!

1) Создайте резервную копию VMware vCSA с помощью встроенного инструмента. Несмотря на достаточно хорошо задокументированный путь есть вероятность разломать vCSA (https://www.youtube.com/watch?v=r05k2AeQgcU).

2) Сделайте запрос на сертификат через certificate-manager

В каталоге /etc/vmware-sso/keys/ получаем файлы с закрытым ключом и запросом на сертификат в файле (vmca_issued_csr.csr). Данный файл нужно скачать для генерации сертификата.

3) Для скачивания запроса можно воспользоваться WinSCP, однако по умолчанию он к vCSA не подключится.

Варианта два:

— узнать расположение sftp-server

find / -name "sftp-server"

и указать его в настройках WinSCP перед подключением

— подключиться по ssh, зайти в shell и сменить Shell

chsh -s "/bin/bash" root

в целях безопасности после скачивания файлов и заливки готовых открытых ключей Shell рекомендуется сменить обратно

chsh -s /bin/appliancesh root

4) Итак, вы скачали файл запроса. Для выпуска сертификата вам потребуется кастомизированный (на базе WebServer) шаблон

В результате вы получаете сертификат (он же открытый ключ).

5) Делаем complete chain file, в нашем случае это три сертификата. Сертификат, который получили от запроса; саб сертификат и рут сертификат, согласно со статьей.

Также нужно приготовить сертификат «подписчика», содержащий сертификаты №№2 и 3.

В итоге мы получаем два chain-файла, которые копируем в vCSA. Если меняли Shell на третьем шаге, можете вернуть его назад.

6) Снова запускаем certificate-manager

PROFIT.

Запись опубликована в рубрике 6.0, 6.5, 6.7, VMware, vSphere с метками . Добавьте в закладки постоянную ссылку.

3 комментария на «Замена сертификата на VMware vCSA 6.x»

  1. Александр говорит:

    Эммм… А почему бы не зайти в веб-клиенте «Administration -> Certificate Management» и там нажать «replace» и указать файлы сертификата и ключа?

  2. Андрей Вахитов говорит:

    Слишком легко.

  3. Mister Nobody говорит:

    «Signing certificate is not valid» — Regenerating and replacing expired STS certificate using shell script on vCenter Server Appliance 6.5/6.7 (76719)
    https://kb.vmware.com/s/article/76719

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *