среда, 1 февраля 2012 г.

vSphere 5 SSL


Памятка про замену сертификатов ssl.
Официальная дока по vSphere 5  - vSphere Security –> Encryption and Security Certificates for ESXi and vCenter Server.
Change the Update Manger SSL Certificate - vSphere Update Manager 5.0 Documentation > Reconfiguring VMware vSphere Update Manager.
Для веб-клиента - Want to use a self signed SSL certificate with the vSphere Web Client?
Замена SSL сертификата на VMware vCenter Server Appliance (VCSA).


По-русски
SSL сертификаты в ESXi | VMware.
Замена сертификатов на vSphere 4.1.
Замена сертификатов на службах VMware vCenter Server 4.0.

На всякий случай
Replace SSL Certificates: Replace vCenter Server SSL Certificates
Replacing vSphere SSL Certificates

10 комментариев:

  1. Попиарю свой сайт :)
    В vSphere 4.1 механизм замены сертификатов несколько поменялся - http://vmind.ru/2011/11/29/zamena-sertifikatov-na-vsphere-4-1/

    ОтветитьУдалить
  2. Непонятно инструкция в kb.vmware.com/kb/1023011 по замене сертификата в Update Manager.
    Можно обойтись без хостов ESX? После замены сертификата как убедиться, что процедура выполнена корректно?

    ОтветитьУдалить
    Ответы
    1. я сам этого еще не делал руками, подсказать не смогу.

      Удалить
  3. 2Олег: Можно. Для Update Manager подойдет тот же сертификат, который вы генерировали для vCenter. Соответственно, если вам нужен отдельный сертификат, используете руководство для генерации сертификата под vCenter.
    По проверке: берем левую станцию, устанавливаем на ней vClient с плагином под UM. Если при подключении к vCenter не выдалось сообщения о несоответствиях в сертификате, то все получилось.
    Более простого способа не знаю, разве что можно как-то подключиться через браузер к UM. Тогда да, можете посмотреть сертификат в браузере.

    ОтветитьУдалить
    Ответы
    1. вот похоже не подходит (:. UM и VC установлены в одной ВМ думал пойти "напролом" и подложил ранее созданные файлы для VC (VC и хосты дружат, но с нюансами) выполнил все по процедуре замены для UM после чего служба UM стартует, но при попытке подключиться к UM выпадает ошибка о невозможности подключения и служба падает. сейчас попробую с есх хостами

      Удалить
  4. Гран пардон. Но, увы, это все полная хрень. Сам уже месяц бегаю по этим граблям, в том числе и пытаюсь получить ответ от офф. ТП VMware. Вот краткое описание проблемы -

    //


    Hi, sorry there was limitation on SR request In 2000 char. So here is the problem description.

    Hello.
    We were trying to install new certificates to vCenter and esxi servers. For that purpose in our test lab was created standalone root CA. And all certificates that were signed by our CA were pre-trusted on every client machine that was used by vSphere Client for connecting to vCenter and esxi hosts.

    New certificates was created, signed and installed according to the official VMware documentation followed by the url - http://pubs.vmware.com/vsphere-50/topic/com.vmware.ICbase/PDF/vsphere-esxi-vcenter-server-50-examples-scenarios-guide.pdf (Increasing Security for Session
    Information Sent Between vSphere
    Components)

    After successfully importing new certificates we trying to do some tests, like connecting to vCenter server using web browser (no errors), connecting to vCenter server using vSphere client (no errors), connecting to esxi hosts using vShpere client (no errors)

    - “No errors” means that vSphere client didn’t show warning messages about new certificates, as they are were pre-trusted on client machine.

    But, when we trying to add host to vCenter server there was a warning message - "Security Alert Unable to verify the authenticity of the specified host. The SHA1 thumbprint of certificate is: --------
    Do you wish to proceed?"

    At this time in esxi vpxa.log we can see the following message –

    "2012-01-13T07:51:01.933Z [FFC44B90 warning 'Libs'] SSL_VerifyX509: Certificate verification is disabled, so connection will proceed despite the error"

    But in vCenter settings in SSL subsection checkbox "vCenter requires verified host SSL certificates" is on.

    So the question is - Is this normal, or such warning message tells us that new certificates were imported with an error.

    Also, vSphere Client does not check the CRL (certificates revocation list) - that is normal for VMware vSphere Client?

    Also in the official VMware documentation there is no description for certificate usage for new certificates (such as : TLS web server auth, time stamping, ocsp signing etc), so the question is what certificates roles(usage) should be on new certificates that we want to import in vCenter and esxi hosts.

    Thanks.

    //

    Всё это уже длится около месяца, и до сих пор я не получил ни одного внятного ответа.
    D.

    ОтветитьУдалить
  5. Ответы
    1. Да, Михаил, интересно это еще не то слово. Более того, даже last line of defense of VMware кормит меня KB, которые даже близко не подходят под описание проблемы и не отвечают на три конкретных вопроса, в частности:


      - Проверяет ли vSphere Client или другие компоненты vSphere CRL (certification revokation list) и если проверяет, то каким образом, через собственное API, либо используя API сторонних компонентов системы.

      - Какие роли должны быть у новых сертификатов, которыми мы заменяем те, что генерируются по умолчанию при установке vCenter/esxi/Update Manger

      - После замены сертификата на vCenter и esxi-ах, при добавлении нового хоста в inventory vCenter-a ( при условии что новые сертификаты на vCenter и нового хоста, выпущены подписанны одним CA, global root которой добавлен в корневые трасты клиетской машины) должно ли появляется сообщение о ---

      //

      Security Alert Unable to verify the authenticity of the specified host

      //


      D.

      Удалить
    2. //

      Security Alert Unable to verify the authenticity of the specified host

      //
      у меня не появлялось данное сообщение. Хосты молча добавились к vCenter и якобы работают,НО при попытке собрать НА кластер полезли ошибки о невозможности сконфигурировать НА агентов на 2,3..n ноде. это вылечилось ручным добавлением отпечатков сертификатов нод в базу vCenter(http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=2006210). после чего все "зазеленело" и кластер собрался. ошибок со стороны vCenter нет, НО если полезть в логи хостов... vpxa- не содержит ошибок, а вот fdm - cодержит такие строки
      //

      FFA03B90 warning 'Libs'] SSL_VerifyX509: Certificate verification is disabled, so connection will proceed despite the error
      2012-02-15T12:19:52.789Z [FFA03B90 warning 'Libs'] SSL_VerifyX509: Certificate verification is disabled, so connection will proceed despite the error
      2012-02-15T12:19:52.789Z [FFA03B90 warning 'Libs'] SSL_VerifyX509: Certificate verification is disabled, so connection will proceed despite the error

      //

      изучаю этот вопрос дальше...

      Удалить