OSI:VMware/Certifikaty

Z HelpDesk

Přidání GEANT certifikátu do VMware VCenter serveru

Odstranit z privátního klíče heslo. 

openssl rsa -in vcenter-key.pem -out vcenter-key-nopass.pem

Spojit certifikát zařízení s certifikátem CA v pořadí Device-Intermediate CA-Root CA. 

cat vcenter-cert.pem chain_geant_ov_rsa_ca_4_full.pem > vcenter-cert-final.pem
  • Přihlásit se do webového rozhraní VCenter https://vcenter.zcu.cz a vybrat Menu - Administration - Certificate Management.
  • Nahradit certifikát __MACHINE_CERT.
    • Replace with external CA certificate(requires private key)
    • Machine SSL Certificate - celý chain včetně Root CA
    • Chain of trusted root certificates - celý chain BEZ samotného certifikátu pro vcenter
    • vcenter nepodporuje SHA1 algo, takže tohle nebude fungovat:
subject=C = GB, ST = Greater Manchester, L = Salford, O = Comodo CA Limited, CN = AAA Certificate Services
issuer=C = GB, ST = Greater Manchester, L = Salford, O = Comodo CA Limited, CN = AAA Certificate Services
Signature Algorithm:         Signature Algorithm: sha1WithRSAEncryption
    • je potřeba nahradit tohle:
subject=C = US, ST = New Jersey, L = Jersey City, O = The USERTRUST Network, CN = USERTrust RSA Certification Authority
issuer=C = GB, ST = Greater Manchester, L = Salford, O = Comodo CA Limited, CN = AAA Certificate Services
Signature Algorithm:         Signature Algorithm: sha384WithRSAEncryption
    • tímhle:
subject=C = US, ST = New Jersey, L = Jersey City, O = The USERTRUST Network, CN = USERTrust RSA Certification Authority
issuer=C = US, ST = New Jersey, L = Jersey City, O = The USERTRUST Network, CN = USERTrust RSA Certification Authority
Signature Algorithm:         Signature Algorithm: sha384WithRSAEncryption
  • Přidat certifikáty CA přes Trusted Root Certificates - ADD.
  • Restartovat VCenter přes VAMI https://vcenter.zcu.cz:5480 a Actions - Reboot.

Přidání GEANT certifikátu do VMware ESXi serveru

Odstranit z privátního klíče heslo. 

openssl rsa -in sphere-key.pem -out sphere-key-nopass.pem

Spojit certifikát zařízení s certifikátem CA v pořadí Device-Intermediate CA-Root CA. 

cat sphere-cert.pem chain_geant_ov_rsa_ca_4_full.pem > sphere-cert-final.pem

Přejmenovat certifikát a klíč. 

cp sphere-cert-final.pem rui.crt
cp sphere-key-nopass.pem rui.key

Nahrát certifikát a klíč do správného adresáře pro všechny ESXi servery. 

scp rui.* root@sphere1:/etc/vmware/ssl
scp rui.* root@sphere2:/etc/vmware/ssl
scp rui.* root@sphere3:/etc/vmware/ssl

Přihlásit se na ESXi servery a restartovat služby. 

services.sh restart

Odkazy

http://engineering.pivotal.io/post/vcenter_6.7_tls/

https://graspingtech.com/ansible-lets-encrypt-esxi/

https://casesup.com/category/knowledgebase/vmware/how-to-replace-default-ssl-certificate-for-vmware-vcenter-and-esxi-hosts

https://pubs.vmware.com/vsphere-51/index.jsp?topic=%2Fcom.vmware.vsphere.security.doc%2FGUID-A261E6D8-03E4-48ED-ADB6-473C2DAAB7AD.html

Citováno z „https://helpdesk.zcu.cz/index.php?title=OSI:VMware/Certifikaty&oldid=66274