Una de las primeras medidas a tomar en toda nueva instalación de vCenter Server Appliance es el cambio del certificado SSL autofirmado por uno de una entidad certificadora de confianza. Para esta entrada se tratará el proceso de reemplazo del certificado Positive SSL en una instancia de vCenter Center Appliance 6.5 (este proceso indica los pasos a seguir desde el momento en que recibimos el certificado así que no cubre la request a la entidad certificadora)
Subida de ficheros a vCenter Server Appliance
La subida de ficheros del certificado suele realizarse a través de un cliente como WinSCP o Filezilla pero para ello antes es necesario cambiar la shell del usuario a bash con el comando siguiente:
chsh -s /bin/bash $username
Si no se hace este cambio será imposible hacer login para subir los ficheros. Una vez subidos los ficheros del certificado podrá volver al estado anterior con el comando siguiente:
chsh -s /bin/appliancesh $username
Creación de un bundle del certificado
A la hora de recibir el certificado de una entidad es posible que no reciba un único certificado sino un conjunto de certificados que deberán combinarse para formar uno solo en el orden correcto. En el caso de un certificado PositiveSSL estos suelen ser los siguientes:
COMODORSAAddTrustCA.crt
COMODORSADomainValidationSecureServerCA.crt
COMODORSAAddTrustCA.crt
Una concatenación de los mismos en un bundle constituirá el certificado a instalar en Certificate Manager. Podrá construir el mismo con el siguiente comando en una terminal SSH:
cat COMODORSAAddTrustCA.crt COMODORSADomainValidationSecureServerCA.crt COMODORSAAddTrustCA.crt > $machine_name.crt
Una vez completado este paso podrá proceder a la instalación del certificado.
Uso de certificate manager para llevar a cabo la instalación de un certificado
La instalación de un certificado en vCenter Server se lleva a cabo a través de certificate manager. Podrá invocar el mismo con el siguiente comando:
/usr/lib/vmware-vmca/bin/certificate-manager
Una vez llevado a cabo el mismo encontrará una imagen similar a la que encabeza esta entrada. Para reemplazar el certificado deberá seguir los siguientes pasos en la herramienta:
Replace Machine Certificate with custom certificate
Import custom certificate(s) and key(s) to replace existing Machine SSL certificate
Please provide valid custom certificate for Machine SSL: $path (proporcionar la ruta absoluta hacia el fichero $machine_name.crt)
Please provide valid custom key for Machine SSL: $path (proporcionar la ruta absoluta hacia el fichero $machine_name.crt)
Please provide the signing certificate of the Machine SSL certificate: $path (proporcionar la ruta absoluta hacia el fichero $machine_name.crt)
Una vez hecho esto comenzará el reemplazo del certificado original de vcenter y tan solo quedará esperar a que finalice el mismo para que el certificado se instale correctamente en el appliance