Una de las primeras medidas a tomar en toda nueva instalación de vCenter Server Appliance es el cambio del certificado SSL autofirmado por uno de una entidad certificadora de confianza. Para esta entrada se tratará el proceso de reemplazo del certificado Positive SSL en una instancia de vCenter Center Appliance 6.5 (este proceso indica los pasos a seguir desde el momento en que recibimos el certificado así que no cubre la request a la entidad certificadora)

Subida de ficheros a vCenter Server Appliance

La subida de ficheros del certificado suele realizarse a través de un cliente como WinSCP o Filezilla pero para ello antes es necesario cambiar la shell del usuario a bash con el comando siguiente:
chsh -s /bin/bash $username
Si no se hace este cambio será imposible hacer login para subir los ficheros. Una vez subidos los ficheros del certificado podrá volver al estado anterior con el comando siguiente:
chsh -s /bin/appliancesh $username

Creación de un bundle del certificado

A la hora de recibir el certificado de una entidad es posible que no reciba un único certificado sino un conjunto de certificados que deberán combinarse para formar uno solo en el orden correcto. En el caso de un certificado PositiveSSL estos suelen ser los siguientes:
COMODORSAAddTrustCA.crt

COMODORSADomainValidationSecureServerCA.crt

COMODORSAAddTrustCA.crt

Una concatenación de los mismos en un bundle constituirá el certificado a instalar en Certificate Manager. Podrá construir el mismo con el siguiente comando en una terminal SSH:

cat COMODORSAAddTrustCA.crt COMODORSADomainValidationSecureServerCA.crt COMODORSAAddTrustCA.crt > $machine_name.crt

Una vez completado este paso podrá proceder a la instalación del certificado.

Uso de certificate manager para llevar a cabo la instalación de un certificado

La instalación de un certificado en vCenter Server se lleva a cabo a través de certificate manager. Podrá invocar el mismo con el siguiente comando:

/usr/lib/vmware-vmca/bin/certificate-manager

Una vez llevado a cabo el mismo encontrará una imagen similar a la que encabeza esta entrada. Para reemplazar el certificado deberá seguir los siguientes pasos en la herramienta:

Replace Machine Certificate with custom certificate

Import custom certificate(s) and key(s) to replace existing Machine SSL certificate

Please provide valid custom certificate for Machine SSL: $path (proporcionar la ruta absoluta hacia el fichero $machine_name.crt)
Please provide valid custom key for Machine SSL: $path (proporcionar la ruta absoluta hacia el fichero $machine_name.crt)
Please provide the signing certificate of the Machine SSL certificate: $path (proporcionar la ruta absoluta hacia el fichero $machine_name.crt)

Una vez hecho esto comenzará el reemplazo del certificado original de vcenter y tan solo quedará esperar a que finalice el mismo para que el certificado se instale correctamente en el appliance

abril 6th, 2018

Posted In: Tutoriales

Deja un comentario