Installieren Sie SSL-Zertifikate in vCenter Virtual Appliance 5.5 - Wie Man

Installieren Sie SSL-Zertifikate in vCenter Virtual Appliance 5.5

VMware KB 2057223 beschreibt die erforderlichen Schritte, um die selbst generierten SSL-Zertifikate in vCenter Virtual Appliance 5.5 durch von Zertifizierungsstellen generierte Zertifikate zu ersetzen. Es ist eine lange Anleitung und nicht für schwache Nerven. Bei der Befolgung der Anleitung sind jedoch zahlreiche Probleme aufgetreten.

Einige der Schritte scheinen unvollständig zu sein, da sie sich auf Dateien beziehen, die scheinbar nicht existieren. Es gibt auch viele Tippfehler im Dokument. Ich habe unzählige Stunden damit verbracht, verschiedene Setups zu suchen und auszuprobieren, bevor ich es schließlich zum Laufen brachte.

Ich dachte, ich würde teilen, was ich hier gefunden habe. Diese Anleitung basiert auf der VMware-KB. Folgen Sie der KB und verwenden Sie diese für weitere Erklärungen und Korrekturen.

Wofür diese Anleitung spezifisch ist:

- Einrichten einer eigenständigen virtuellen vCenter-Appliance 5.5 in einer Active Directory-Umgebung (5.1 und frühere Schritte haben etwas unterschiedliche Schritte)
- Sie haben eine interne Microsoft-Zertifizierungsstelle und möchten diese zum Generieren der Zertifikate verwenden. Meine ist eine Unternehmens-Stammzertifizierungsstelle, die unter Windows 2008 R2 ausgeführt wird

Die Hauptprobleme, auf die ich beim Verfolgen der VMware-KB gestoßen bin:

- Es ist nicht klar, wie die chain.pem-Datei erzeugt wird
- / usr / sbin / vpxd_servicecfg Zertifikatsänderungsbefehle geben nicht-null-Fehlercodes aus. Es scheint, dass die generierten Zertifikate nicht funktionieren

Lass uns anfangen. Sie müssen dem KB-Artikel folgen und für Korrekturen und Erläuterungen darauf Bezug nehmen. Lassen Sie mich wissen, wenn Sie auf andere Probleme gestoßen sind und was Sie getan haben, um sie zu lösen.

5 Schritte insgesamt

Schritt 1: Stellen Sie die vCenter Appliance bereit

Stellen Sie die virtuelle Maschine der vCenter-Appliance bereit. Hochfahren. Folgen Sie den Anweisungen auf der Konsole, indem Sie zur Web-URL wechseln. Stellen Sie sicher, dass Sie den Konfigurationsassistenten abbrechen und die statische IP-Adresse, den fqdn-Hostnamen und die DNS-Server festlegen. Sie können den Konfigurationsassistenten anschließend erneut starten. Verwenden Sie das benutzerdefinierte Setup, um ein Kennwort für den SSO-Administrator festzulegen.

Schritt 2: Generieren Sie Zertifikatsanfragen

Lesen Sie den WMware-KB-Artikel und halten Sie am Ende des Abschnitts mit dem Titel "Generieren der Zertifikatsanforderungen" an.

Sie müssen sicherstellen, dass Sie den richtigen FQDN für Ihre vCenter-Appliance verwenden und von den in der vCenter-Appliance angegebenen DNS-Servern richtig aufgelöst werden.

Stellen Sie außerdem sicher, dass Sie OpenSSL v0.9.8 oder höher verwenden.

Schritt 3: Generieren Sie Zertifikate und laden Sie sie zur Appliance hoch

Fahren Sie mit dem WMware-KB-Artikel fort und führen Sie alle Schritte im Abschnitt "Abrufen der Zertifikate" durch und stoppen Sie dann.

Schritt 15, Sie haben cachain.p7b, bitte beachten Sie, dass dies NICHT cachain.pem ist. Sie müssen die Konversation ausführen, die im folgenden Abschnitt in Schritt 4 beschrieben wird, im Gegensatz zu der beigefügten Notiz.

Sie erhalten am Ende VIER Sätze von Schlüssel / Zertifikat (auch csr) sowie die Datei cachain.p7b. NICHT drei.

Da wir zum Erstellen der Zertifikate eine Windows-Zertifizierungsstelle verwendet haben, weisen die Zertifikate DOS-Zeilenumbrüche auf, die entfernt werden müssen. Doug Baer hat in einem seiner Blogs gute Anweisungen dazu. Gehen Sie zum Abschnitt "Nebenan: DOS-Zeilenenden".

http://www.goitpartners.com/blog/?p=623

Sie müssen dies für alle Zertifikatsdateien tun. Ich habe die Schlüssel in einer Linux-Box generiert, aber wenn Sie dies unter Windows getan haben, empfehle ich, dass Sie dies auch für die Schlüsseldateien tun.

Schritt 4: Installieren Sie die Zertifikate

Beginnen wir nun mit dem WMware-KB-Artikel im nächsten Abschnitt "Installation und Konfiguration der Zertifikate für alle Komponenten". Hier wird es interessant.

Schritt 3, ignorieren Sie die Datei cachain.p7b. Dies ist richtig.

In Schritt 4 MÜSSEN Sie diese Konvertierung durchführen, wenn Ihr Zertifikat von einer Microsoft-Zertifizierungsstelle generiert wird.

Schritt 7, spricht über chain.pem. Dies ist NICHT cachain.pem. Dies ist eine PEM-Datei, die das Zertifikat des Dienstes sowie die CA-Kette enthält. Sie müssen also chain.pem erstellen, indem Sie das Servicezertifikat und das Zertifizierungsstellenzertifikat kombinieren. z.B.

cat rui_vpxd.crt cachain.pem> chain.pem

Und Sie müssen dies auch für die anderen Zertifikate tun (Inventarservice, Logbrowser, Autodeploy). Wenn Sie "chain.pem" sehen, müssen Sie das entsprechende "chain.pem" verwenden. Verwenden Sie nicht nur die Zertifikatsdatei oder die Datei cachain.pem

Schritt 5: Home Run

Weiter mit dem KB-Artikel bis zum Ende. Hoffentlich stoßen Sie auf keine Probleme. Starten Sie die vCenter-Appliance neu und überprüfen Sie, ob die neuen Zertifikate installiert sind.

Melden Sie sich mit dem SSO-Administratorkennwort bei vSphere Web Client an, und Sie können Ihr vCenter von dort aus weiter einrichten!

1. Das Zertifikatinstallationsverfahren für vCenter-Appliance 5.5 ist einfacher als 5.1 oder 5.0.
2. Das Zertifikatinstallationsverfahren für die vCenter-Appliance 5.5 ist immer noch sehr lang und kompliziert.
3. Der KB-Artikel zum Installieren von Zertifikaten auf vCenter-Appliance 5.5 enthält viele Fehler und Tippfehler
4. Es ist möglich, SSL-Zertifikate auf der vCenter-Appliance zu ersetzen! Ich habe es selbst nicht geglaubt, bis ich es endlich funktionierte. Versuchen Sie es weiter und Sie werden dorthin gelangen!