Добавить в корзинуПозвонить
Найти в Дзене
Лаборатория сисадмина
7566 подписчиков

vCenter 7 — установка сертификата

680
3 мин
Сегодня создадим и установим свой корпоративный сертификат на vCenter 7. Процесс пойдёт в несколько этапов, а именно: Подготовительные работы Сделаем шаблон vSphere 7 в центре сертификации. Это задача вынесена в отдельную статью. Здесь рассказывается как сделать шаблон в центре сертификации и настроить срок действия на 5 лет. Шаблон vSphere 7 в центре сертификации Настроим поддержку нескольких алиасов и IP адреса при создании сертификата. Эта задача вынесена в отдельную статью. Создание SSL сертификата с альтернативными доменными именами Подготовим цепочку корневых сертификатов. Открываем центр сертификации. Скачиваем цепочку сертификатов из центра сертификации. Воспользуемся ссылкой Download a CA certificate, certificate chain, or CRL. Устанавливаем галку на Base 64. Скачиваем цепочку в формате P7B — Download CA certificate chain. Конвертируем P7B в PEM: Windows — конвертация P7B в PEM с помощью подсистемы Linux Получаем цепочку в формате PEM. Лишние строки из полученного файла можно
Оглавление

Сегодня создадим и установим свой корпоративный сертификат на vCenter 7. Процесс пойдёт в несколько этапов, а именно:

  1. Сделаем шаблон vSphere 7 в центре сертификации. Срок действия сертификата 5 лет.
  2. Настроим поддержку нескольких алиасов и IP адреса при создании сертификата.
  3. Подготовим цепочку корневых сертификатов.
  4. Сгенерируем и устанавливаем на vCenter 7.

Подготовительные работы

Сделаем шаблон vSphere 7 в центре сертификации. Это задача вынесена в отдельную статью. Здесь рассказывается как сделать шаблон в центре сертификации и настроить срок действия на 5 лет.

Шаблон vSphere 7 в центре сертификации

Настроим поддержку нескольких алиасов и IP адреса при создании сертификата. Эта задача вынесена в отдельную статью.

Создание SSL сертификата с альтернативными доменными именами

Подготовим цепочку корневых сертификатов. Открываем центр сертификации.

-2

Скачиваем цепочку сертификатов из центра сертификации. Воспользуемся ссылкой Download a CA certificate, certificate chain, or CRL.

-3

Устанавливаем галку на Base 64. Скачиваем цепочку в формате P7B — Download CA certificate chain.

-4

Конвертируем P7B в PEM:

Windows — конвертация P7B в PEM с помощью подсистемы Linux

-5

Получаем цепочку в формате PEM.

-6

Лишние строки из полученного файла можно удалить вручную.

Генерация сертификата vCenter 7

Генерировать будем через shell. Включаем Bash Shell на vCenter 7.

-7

Заходим на vCenter по SSH под пользователем administrator@vsphere.local. Переходим в shell:

shell
-8

Переключаемся в sudo:

sudo -i
shell
-9

Вот мы и под рутом. Выполняем команду:

/usr/lib/vmware-vmca/bin/certificate-manager

Запускается скрипт.

*** Welcome to the vSphere 6.7 Certificate Manager ***
-10

Выбираем первый пункт.

Replace Machine SSL certificate with Custom Certificate

Вводим "1". Логинимся под administrator@vsphere.local.

-11

Для начала генерируем CSR (Certificate Signing Request), нажимаем "1".

И тут нас начинают спрашивать:

  • Output directory path: /tmp
  • Country: RU
  • Name: FQDN адрес vcenter
  • Organization: YourCompany (название вашей компании)
  • OrgUnit: IT
  • State: Moscow
  • Locality: Moscow
  • IPAddress: IP адрес vCenter
  • Email: admin@yourcompany.ru (почта)
  • Hostname: FQDN виртуалки vcenter, может не совпадать с Name
  • VMCA Name: FQDN адрес vcenter, обычно совпадает с Name
-12

Отвечаем, получаем в итоге два файла:

  • /tmp/vmca_issued_csr.csr
  • /tmp/vmca_issued_key.key

Для выхода нажимаем "2".

Получаем содержимое vmca_issued_csr.csr:

cat /tmp/vmca_issued_csr.csr
-13

Копируем содержимое CSR в буфер.

Открываем центр сертификации.

-14

Request a certificate — запрашиваем сертификат.

-15

Advanced certificate request. Заполняем поля.

-16
  • Base-64-encoded certificate request: сюда вставляем скопированное содержимое файла vmca_issued_csr.csr.
  • Certificate Template: vSphere 7. Это наш шаблон в центре сертификации.
  • Attributes: дополнительные атрибуты в формате:
    san:ipaddress=10.11.12.13&dns=vcenter.domain1.local&dns=vcenter.domain2.local&dns=vcenter&dns=vcenter-machine

Естественно, свои IP и DNS адреса вписываем.

Submit.

-17

Скачиваем Base 64 encoded. Download certificate.

Снова идём в shell.

Создаём файл vmca_issued_csr.cer:

vim /tmp/vmca_issued_csr.cer

Вставляем внутрь содержимое полученного сертификата, сохраняем.

Создаём файл E-CA.cer:

vim /tmp/E-CA.cer

Вставляем внутрь содержимое корневого сертификата или цепочки (помним что переводили её в формат PEM), сохраняем.

Запускаем certificate-manager.

/usr/lib/vmware-vmca/bin/certificate-manager
-18

Выбираем первый пункт. Replace Machine SSL certificate with Custom Certificate. Вводим "1". Логинимся под administrator@vsphere.local. Потом выбираем второй пункт. Import custom certificate(s) and key(s) to replace existing Machine SSL certificate.

-19

Нас спрашивают: "Please provide valid custom certificate for Machine SSL", указываем /tmp/vmca_issued_csr.cer.

Нас спрашивают: "Please provide valid custom key for Machine SSL", указываем /tmp/vmca_issued_key.key.

Нас спрашивают: "Please provide the signing certificate of the Machine SSL certificate", указываем tmp/E-CA.cer.

Y.

-20

Полетело обновление сертификата, можно идти пить кофе.

В конце увидите:

All tasks completed successfully

Можно перезагрузить vCenter 7.

Источник:
https://internet-lab.ru/vcenter_7_certificate

Если вам понравилась статья, то ставьте 👍🏻 каналу.
Пишите комментарии, задавайте вопросы, подписывайтесь.

4
Гаджеты и электроника
5,73 млн интересуются