Как-то неправильно при наличии службы сертификации Active Directory (AD CS) видеть предупреждения о недействительных сертификатах безопасности. В VMware тоже это понимают и начиная с vSphere 6.0 значительно упростили работу с сертификатами, внедрив VMware Certificate Authority (VMCA).
Для установки своих сертификатов потребуется выполнить некоторые подготовительные действия, а именно создать необходимые шаблоны AD CS. Разберём на примере Windows Server 2008 R2 Enterprise. Для этого запустим оснастку «Центр сертификации» (certsrv.msc) и подключимся к серверу.
- В дереве оснастки выбираем «Шаблоны сертификатов» → «Действие» → «Управление».
- В списке шаблонов выбираем «Подчинённый центр сертификации» → «Действие» → «Скопировать шаблон».
- Далее переходим к настройке шаблона. На вкладке «Общие» меняем «Отображаемое имя шаблона» на «vSphere 6.0 VMCA», при этом автоматически изменится «Имя шаблона».
- Открываем вкладку «Расширения» → «Использование ключа» → «Изменить» и проверяем, чтобы были отмечены опции «Цифровая подпись», «Подписывание сертификатов» и «Подписывание списка отзыва сертификатов (CRL)», а так же «Считать это расширение критическим». После этого можно сохранить шаблон.
Активируем созданный шаблон. Для этого в оснастке выбираем «Шаблоны сертификатов» → «Действие» → «Создать» → «Выдаваемый шаблон сертификата». Выбираем из списка наш шаблон и жмём ОК.
Подготовительный этап завершён. Подключаемся по SSH к vCenter Server 6.0 Appliance (VCSA) и запускаем /usr/lib/vmware-vmca/bin/certificate-manager.
Для активации SSH-доступа необходимо открыть VMware Appliance Management (https://<ip>:5480/) под пользователем root и соответствующим паролем, далее «Access» → «Access settings» → «Edit» → «Enable ssh login», «Enable bash shell» → «OK».
- Выбираем «Replace VMCA Root certificate with Custom Signing Certificate and replace all Certificates» и вводим пароль от пользователя administrator@vsphere.local.
- Далее «Generate Certificate Signing Request(s) and Key(s) for VMCA Root Signing certificate» и указываем путь для сохранения файлов machine_ssl.key и machine_ssl.csr.
- Файл machine_ssl.csr содержит запрос, который нужно скормить AD CS. Для заходим по адресу https://<ad_cs>/certsrv/ → «Запрос сертификата» → «Расширенный запрос сертификата».
- В поле «Сохранённый запрос» вставляем содержимое machine_ssl.csr, в «Шаблон запроса» выбираем «vSphere 6.0 VMCA».
- Жмём кнопку «Выдать» и скачиваем наш сертификат в кодировке Base64.
Продолжения не будет…
Добрый день.
Подскажите, пожалуйста, аналогичную процедуру, но на vmca Windows Server.
Не подскажу. С Windows Server практически не сталкиваюсь.