Правильный сертификат для vSphere 6

Автор: | 27.08.2016

Как-то неправильно при наличии службы сертификации Active Directory (AD CS) видеть предупреждения о недействительных сертификатах безопасности. В VMware тоже это понимают и начиная с vSphere 6.0 значительно упростили работу с сертификатами, внедрив VMware Certificate Authority (VMCA).

Для установки своих сертификатов потребуется выполнить некоторые подготовительные действия, а именно создать необходимые шаблоны AD CS. Разберём на примере Windows Server 2008 R2 Enterprise. Для этого запустим оснастку «Центр сертификации» (certsrv.msc) и подключимся к серверу.

  1. В дереве оснастки выбираем «Шаблоны сертификатов» → «Действие» → «Управление».
  2. В списке шаблонов выбираем «Подчинённый центр сертификации» → «Действие» → «Скопировать шаблон».
  3. Далее переходим к настройке шаблона. На вкладке «Общие» меняем «Отображаемое имя шаблона» на «vSphere 6.0 VMCA», при этом автоматически изменится «Имя шаблона».2
  4. Открываем вкладку «Расширения» → «Использование ключа» → «Изменить» и проверяем, чтобы были отмечены опции «Цифровая подпись», «Подписывание сертификатов» и «Подписывание списка отзыва сертификатов (CRL)», а так же «Считать это расширение критическим». После этого можно сохранить шаблон.
    4

Активируем созданный шаблон. Для этого в оснастке выбираем «Шаблоны сертификатов» → «Действие» → «Создать» → «Выдаваемый шаблон сертификата». Выбираем из списка наш шаблон и жмём ОК.

Подготовительный этап завершён. Подключаемся по SSH к vCenter Server 6.0 Appliance (VCSA) и запускаем /usr/lib/vmware-vmca/bin/certificate-manager.

Для активации SSH-доступа необходимо открыть VMware Appliance Management (https://<ip>:5480/) под пользователем root и соответствующим паролем, далее «Access» → «Access settings» → «Edit» → «Enable ssh login», «Enable bash shell» → «OK».

  1. Выбираем «Replace VMCA Root certificate with Custom Signing Certificate and replace all Certificates» и вводим пароль от пользователя administrator@vsphere.local.
  2. Далее «Generate Certificate Signing Request(s) and Key(s) for VMCA Root Signing certificate» и указываем путь для сохранения файлов machine_ssl.key и machine_ssl.csr.
  3. Файл machine_ssl.csr содержит запрос, который нужно скормить AD CS. Для заходим по адресу https://<ad_cs>/certsrv/ → «Запрос сертификата» → «Расширенный запрос сертификата».
  4. В поле «Сохранённый запрос» вставляем содержимое machine_ssl.csr, в «Шаблон запроса» выбираем «vSphere 6.0 VMCA».
  5. Жмём кнопку «Выдать» и скачиваем наш сертификат в кодировке Base64.

Продолжения не будет…

Правильный сертификат для vSphere 6: 2 комментария

  1. николай

    Добрый день.
    Подскажите, пожалуйста, аналогичную процедуру, но на vmca Windows Server.

    1. LB Автор записи

      Не подскажу. С Windows Server практически не сталкиваюсь.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *