SergOO
Enthusiast
Enthusiast

Сертификаты в 6 версии.

Хочу подписать инфраструктуру своими сертификатами. Делаю даную процедуру первый раз. Нужна ваша помощь. Что я делаю.

Запускаю:

C:\Program Files\VMware\vCenter Server\vmcad>certificate-manager.bat

Выбираю:

1. Replace Machine SSL certificate with Custom Certificate

Дальше логин пароль:

Enter username [Administrator@vsphere.local]

Enter password:********

Выбираю:

1. Generate Certificate Signing Request(s) and Key(s) for Machine SSL certificate

Указываю путь:

Please provide a directory location to write the CSR(s) and PrivateKey(s) to:

Output directory path: C:\temp\Cert

На выходе получил 2 файла:

File : C:\temp\Cert\machine_ssl.key

File : C:\temp\Cert\machine_ssl.csr

Открываю файл C:\temp\Cert\machine_ssl.csr блокнотом, копирую и используя шаблон VMware Machine SSL, подписываю и сохраняю себе файл p7b в формате base64.

Шаблон VMware Machine SSL создал по ссылке: http://www.virtually-limitless.com/certificates/creating-microsoft-ca-templates-for-certificates-in-...

Итого у меня получается такой набор файлов:

certnew.p7b - сертификат подписаный по шаблону VMware Machine SSL

kvcntrapp01.cer - експортированый файл с certnew.p7b

machine_ssl.csr - файл, сгенерированый запрос

machine_ssl.key - key файл

Вот структура certnew.p7b :

Безымянный.jpg

Вопрос!

Теперь мне нужно правильно указать файлы при импорте моего сертификата. Во втором пункте все понятно, берем key файл. Какие нужно использовать файлы в пунктах 1 и 3 и как их получить? Подскажите пожалуйста. Спасибо.

Continue to importing Custom certificate(s) and key(s) for Machine SSL certificate

1. Please provide valid custom certificate for Machine SSL.

File :

2. Please provide valid custom key for Machine SSL.

File : C:\temp\Cert\machine_ssl.key

3. Please provide the signing certificate of the Machine SSL certificate

File :

0 Kudos
5 Replies
Finikiez
Champion
Champion

Здравствуйте!

Есть два варианта использования своих сертфикатов - сделать VMCA промежуточным центром сертификации и второй вариант с заменой всех сертификатов всех служб на свои.

Вы определились какой путь вы выбрали?

И на какой версии vsphere вы сейчас? U1 или U2?

0 Kudos
SergOO
Enthusiast
Enthusiast

Всех на свои лучше бы было без промежуточных от VMCA.

Сейчас:

VMware vCenter Server 6.0.0, 3339083

esxcli system version get

   Product: VMware ESXi

   Version: 6.0.0

   Build: Releasebuild-3380124

   Update: 1

   Patch: 26

Если я захочу обновить версию, это как то будет влиять?

0 Kudos
Finikiez
Champion
Champion

Про версию я писал, потому что есть баг, когда игнорируется certool.cfg. В результате вы получаете сертификаты с одинаковыми именами в них, что ведет к дальнейшим проблемам

VMware KB:    Using the Certificate Manager Utility in vSphere 6.0 does not utilize the Certool.cfg ...

Замена всех сертификатов на свои описана в документации. Вам нужно сгенерировать запросы и создать сертификаты для каждого конечного solution user, чтобы потом поменять

Replace All Certificates with Custom Certificate (Certificate Manager)

0 Kudos
SergOO
Enthusiast
Enthusiast

Все таки это не то, что я хотел.

Мне не понятно откуда берется 1 и 3 пункты.

1. Я так понял, что это мой kvcntrapp01.cer

2. machine_ssl.key - key файл

3. Как получить? Вот что меня интересовало.

Спасибо.

0 Kudos
Finikiez
Champion
Champion

Для того, чтобы поменять все сертифкаты и на свои собственные вам нужен пункт 5 в утилите

Replace the all vSphere Certificates and Keys with custom CA Certificates and Keys (Option 5)

VMware KB: Understanding and using vSphere 6.0 Certificate Manager

Пункт 1 - это новый machine ssl сертификат

Пункт 3 - это сертификат, с которым можно проверить выданный сертификат

Описано это здесь, пункт 8

  • Provide the full path to machine_name_ssl.cer and machine_name_ssl.key from Step 5 and the CA certificate Root64.cer.

VMware KB: Replacing a vSphere 6.0 Machine SSL certificate with a Custom Certificate Authority Signe...

0 Kudos