Установка SSL сертификата vCSA 6.7

Начиная с vSphere версии 6.0 появился VMware Certificate Authority (VMCA) — встроенный в Platform Service Controller (PSC) CA, который может автоматически выпускать сертификаты для всех компонент vSphere. В этой статье мы рассмотрим процесс замены сертификата для того, чтобы обеспечить доверие браузеров, подключающихся к vCenter серверу. Сразу отмечу, что wildcard сертификаты не поддерживаются (https://kb.vmware.com/s/article/2111219). VMCA не имеет GUI и не поддерживает списки отзывов CRL. Поэтому если возникли подозрения на компроментацию сертификата просто меняем его и всё. VMCA выдаёт сертификаты только компонентам Vmware. Официальная документация по работе с сертификатами в VMware vSphere 6.7. Такой же подход применяется и к 6.5: vSphere Security Certificates

Существует 2 рекомендованных режима работы VMCA:

VMCA Default Certificates — сразу после развёртывания PSC VMCA сам управляет всеми сертификатами и их жизненным циклом. Это почти не требует затрат на администрирование. Единственное, что рекомендуется сделать — добавить корневой сертификат в хранилище доверенных корневых центров на машинах, которые будут подключаться браузерами к vCenter. Это нужно для того, чтобы при атаке MiTM браузеры предупредили о подмене сертификата, а если этого не сделать, то администраторы всегда будут нажимать «продолжить»  и никогда не заметят подмены. Гибридный режим (VMCA Default Certificate with External SSL Certificate) — Меняется только PSC и vCenter Server Appliance сертификаты. VMCA продолжает управлять Solution users и ESXi сертификатами. В результате имеем доверие всех браузеров, которые подключаются к vCenter и не имеем проблем по замене всех сертификатов. VMware не рекомендует изменять solution user сертификаты или STS сертификаты, а также не рекомендует использовать subordinate CA сертификаты для VMCA.

Шаблон сертификата для vSphere

Для выпуска сертификата необходимо создать специальный шаблон. Создадим его на основе существующего шаблона Web Server, скопировав его. Основные параметры шаблона следующие:

Переименовываем шаблон в «vSphere 6.x» и добавляем шаблон для выпуска:

Смена сертификата на vCSA

Для начала нам необходимо сгенерировать CSR на VCSA. Для этого включаем SSH в настройках vCenter. В общем случае настрока доступа по SSH находится здесь: https://vcsa.yourdomain.com:5480/ui/access После успешного входа по SSH запускаем shell: Далее запускаем Certificate Manager следующей командой:
/usr/lib/vmware-vmca/bin/certificate-manager

Выбираем вариант 1 и вводим логин\пароль администратора SSO:

Выбираем 1 для генерации CSR: Далее указываем путь к временной директории, куда мы сохраним файл CSR: В файле certool.cfg хранятся введённые ранее параметры. Если они не были сконфигурированы, то вводим вручную:
  • Country                          :-             RU
  • Name                              :-             vc01.yourdomain.com
  • Organization                 :-             YourCompany
  • OrgUnit                          :-             IT
  • State                                :-            Moscow
  • Locality                           :-             Moscow
  • IPAddess                        :-             172.27.208.100
  • Email                              :-             admin@yourcompany.com
  • Hostname                      :-             vc01.yourdomain.com
  • VMCA Name                 :-             FQDN where is located your VMCA. Usually the vCSA FQDN — vc01.yourcompany.com
Если ранее CSR уже генерировался, то вводить уже не нужно, т.к. эти параметры будут записаны в certool.cfg. После успешной генерации CSR выходим из утилиты нажимая 2: Теперь можно забрать CSR с помощью Win SCP или любым другим удобным способом. Для работы Win SCP запускаем команду:
chsh -s /bin/bash root
Для подключения Win SCP используем SFTP. Сгенерировалось два файла. Один содержит закрытый ключ, второй запрос CSR. Скачаем CSR на свою машину: Далее выпускаем сертификат с полученным CSR через https://ca.yourcompany.com/certsrv/: Выбираем Request a certificate -> Or, submit an advanced certificate request. -> Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file, or submit a renewal request by using a base-64-encoded PKCS #7 file. Качаем выпущенный сертификат со всей цепочкой: Затем экспортируем по очереди сертификаты из полученного p7b файла. В моём случае их всего два, один Root CA, второй сам vCSA сертификат: Двойным щелчком открываем файл p7b: Формат экспорта: Base-64: Копируем через WinSCP в ту же папку /tmp/ полученные cer файлы. В SSH vCSA запускаем Certificate Manager:
 /usr/lib/vmware-vmca/bin/certificate-manager
Выбираем 1, вводим логин/пароль администратора SSO. Затем выбираем пункт 2 Указываем сначала путь до cer файла выпущенного сертификата, затем до key файла, затем до cer файла центра сертификации CA: Нажимаем Y и ждём когда Certificate Manager перенастроит все сервисы. Весь процесс занимает около 5 минут. После успешного завершения перезагружаем vCSA и ждём минут 10. Теперь при подключении к vCenter у нас будет использоваться сертификат, выпущенный нашим корпоративным центром сертификации.

Добавить комментарий