Наш старый знакомый Philzy написал новую статью для публикации 🙂
Если у вас появилась необходимость в использовании нормальных сертификатов не только для web-серверов, но и для Vmware View 5.1-5.2, то очень рекомендую использовать StartCom SSL Certificates (это нормальные сертификаты за весьма разумные деньги – 59 USD за 2-х летние сертификаты Class 2).
Преамбула или Tips & Tricks
Для получения сертификатов – нужно пройти регистрацию на сайте — StartSSL™ (все достаточно стандартно и предсказуемо). Единственный момент заключается в том, что авторизация на сайте для операций с сертификатами производится при помощи сертификата, который размещается в хранилище компьютера (браузера), т.е. никаких паролей и имен пользователей. Этот сертификат и инструкцию по работе с ним выдают по окончанию регистрации. Сертификат — не восстанавливается, поэтому его лучше сохранить в надежном месте.
После ее прохождения вы получите возможность генерировать сертификаты Class 1 сроком действия – 1год. Они бесплатные и подходят для тестирования сайтов или обучения работе с сертификатами.
Здесь — StartSSL™ Comparison Chart можно посмотреть сравнительную таблицу сертификатов и их стоимости.
Но, если вам нужен нормальный сертификат ( который будут воспринимать все браузеры), то есть ряд очень важных моментов, связанных с присвоением вам статуса доверенного лица и подготовкой данных для сертификатов»:
1. При регистрации нужно вводить только реальные данные и не использовать VPN или чего-то еще искажающего ваш ip-адрес. Это одна из проверок,
2. Обязательно указывайте номер телефона не через +7, а через 007, т.к. вам будут звонить на него из США, а там не все операторы телефонии понимают символ «+» и если вам не дозвонятся, то откажут в регистрации,
3. Обязательно подготовьте и отсканируйте счет от любого телефонного оператора с вашим номером телефона, который вы указываете при регистрации, он является еще одной проверкой. Если все ваши номера куплены на рынке без оформления договора или зарегистрированы на бабушку, то смело и уверенно идите оформлять сим-карту или открывайте графический редактор,
4. Если вы прошли все проверки, вам позвонили и убедились, что вы реальное лицо и вас зарегистрировали как доверенное лицо, которое может подписывать сертификаты, а также с карточного счета сняли 59 USD, то это только начало,
5. Важно, что бы в вашем домене был адрес postmaster@domain, т.к. все письма с кодами валидации будут приходить только на этот адрес,
6. Не используйте функцию wildcard, т.е.сертификат для всего домена целиком, а формируйте сертификаты под конкретные имена, иначе для поддоменов и серверов новые сертификаты создавать будет нельзя. Мне этот опыт стоил 25 USD за revocation и настоятельно был рекомендован сотрудником StartCom.
Особенности создания сертификатов для Vmware View 5.1-5.2
Я поставил множество опытов по получению сертификата через форму сайта или генерацию через CSR и сработала только следующая схема:
1. Сертификат генерится через форму сайта, обязательно с паролем,
2. В меню Tool Box выбирается Create PKCS#12 (PFX) File и далее используется только он,
3. После того, как полученный файл .p12 скопирован на сервер, где установлен View Connection Server,
4. Нужно запустить оснастку Certificates/ Local Computer/ Personal
5. После этого требуется вызвать импорт правой кнопкой мыши All Tasks/Import и пройдя нехитрый мастер получить картинку, указанную на скриншоте.
6. Всего должно быть установлено 3 сертификата: сертификат самого сервера и 2 сертификата CA, причем именно в этой ветке.
7. Не забудьте указать vdm в свойствах сертификата Friendly Name,
8. Далее нужно перезапустить все сервисы Vmware Connection Server.
Данный, не очень сложный метод, был подобран методом проб и ошибок, т.к. наличие, просто, сертификата без сертификатов CA, приводило к тому, что ничего не работало, а в логах шла ругань на сертификат.
Для продуктов Vmware недавно появился инструмент — vCenter Certificate Automation Tool 1.0.
И более продвинутый инструментарий от VSSLabs — vCert Manager , уже находится на стадии бета-тестирования.