Situatie
In solutia de mai jos, imi propun sa va arat cat de usor se poate instala un certificat SSL pe o masina virtuala ESXi.
Pana la urmarea celor 5 pasi, trebuie sa generam certificatul SSL de pe serverul nostru cu Linux.
Generarea certificatului va crea cele doua tipuri de fisiere, fisierul de tip .key – cheia privata si fisierul .csr – care este cererea pentru semnarea certificatului. In cazul in care doriti sa generati certificate pentru mai multe host-uri, atunci trebuie sa aveti in vedere crearea unor directoare separate.
Pentru generare, intr-o consola xterm, vom rula urmatoarele comenzi:
——————————————————————————————————
cd /tmp
mkdir esxi hostname 0. 0. 0. 0
cd esxi hostname 0. 0. 0. 0
openssl req -new -nodes -out rui.csr -config /tmp/openssl.conf
——————————————————————————————————
In directorul de output veti gasi (F5) cele 2 fisiere: rui.key si rui.csr.
Pentru descarcarea acestor fisiere din directorul creat pe statia de lucru, vom folosi un client de sFTP (eu am folosit WinSCP). Fisierele vor fi folosite pentru a crea fisierul .cer, care este certificatul care trebuie instalat pe masina virtuala ESXi.
Mutati certificatul (.cer) in aceelasi director de pe statia voastra de lucru, in care aveti si fisierul .key.
Solutie
Pasi de urmat
Instalarea certificatului pe ESXi
Treceti masina ESXi pe modul de mentenanta (maintenance mode).
Asigurati-va ca ati efectuat un backup al vechilor certificate.
Copierea fisierelor
Copiati noul certificat si cheia privata. Deschideti consola
vCLI –> Start –> All Programs –> VMWare –> VMWare vSphere CLI –> Command Prompt si rulati urmatoarea comanda:
perl vifs.pl -server –put C:tempesxi hostname.cer /host/ssl_cert
perl vifs.pl -server –put C:tempesxi hostnamerui.key /host/ssl_key
Certificatele au fost copiate si incarcate.
Repornirea serviciilor ESXi
Pentru aplicarea noilor certificate, fara oprirea masinii virtuale – se vor porni toti agentii de management (Management Agents) sau se va proceda la restartarea fizica a masinii.
Verificare validitate.
Dupa repornirea masinii, vom incerca sa facem o mica “curatenie” – pentru a nu ne incurca pe viitor in tot felul de fisiere. Astfel, vom sterge fisierele copiate in statia de lucru (cele din fisierul de output) si pe cele din folderul tmp (acest folder nu poate fi editat, deci sigur trebuie sa il aveti si voi cu aceeasi denumire) de pe serverul Linux. Dupa ce ati sters fisierele, iesiti din modul de mentenanta (Maintenance mode).
Pentru verificarea certificatului, accesati masina virtuala ESXi dintr-un browser (de preferat Internet Explorer), nu ar trebui sa va apara erori ale certificatului. Faceti click pe iconita cu “Lock” si selectat “View certificate” – acolo verificati data (“valid from”) pentru a va asigura ca totul este corect.
Leave A Comment?