voroshil's Blog

Здесь должно быть что-то умное

Установка SSL сертификата в VMWare

Этот способ прекрасно работает с серверами vSphere 4.1 ESXi и сертификатами, полученными от Windows Server 2008 R2 CA. Просто выполните процедуру шаг за шагом и все должно получиться.

Подготовка сертификата

Загрузите исполняемые файлы Windows OpenSSL, 32-bit или 64-bit. Не забудьте установить исполняемые файлы Visual C++ до установки OpenSSL.

Создайте каталог с именем Certificates в c:\OpenSSL-Win64 (просто чтобы держать сертификаты отдельно).

cd c:\OpenSSL-Win64\Certificates
c:\OpenSSL-Win64\openssl genrsa 2048 > rui.key
c:\OpenSSL-Win64\openssl req -new -key rui.key > rui.csr

На данном этапе OpenSSL начнет запрашивать значения различных параметров. Значения по-умолчанию для большинства из них можно указать в файле openssl.cnf, чтобы сэкономить время на вводе одних и тех же значений. Файл с параметрами указывается добавлением “-config openssl.cnf” к параметрам кодантной строки. УБЕДИТЕСЬ, что в COMMON NAME указан FQDN вашего ESX сервера (например: esx-node-1.example.com). Пароль не задавайте.

При помощи любого текстового редактора скопируйте содержимое файла rui.crs в буфер обмена.

Перейдите на встроенный web-интерфейс вашего Microsoft CA. (Обычно это http://my-ca-server.example.com/certsrv), перейдите в раздел “Запрос сертификата”, затем в раздел “расширенный запрос сертификата”

На экране "Сохраненный запрос" вставьте содержимое буфера клавиатуры и измените шаблон сертификата на "Веб-сервер". Отправьте запрос, затем загрузите сертификат в кодировке Base-64 (не цепочку сертификатов). Сохраните файл под именем rui.cer в каталог c:\OpenSSL-Win64\Certificates

c:\OpenSSL-Win64\bin\openssl x509 -in rui.cer -out rui.crt
c:\OpenSSL-Win64\bin\openssl pkcs12 -export -in rui.crt -inkey rui.key -passout pass:testpassword -out rui.pfx

Преобразование созданного MS CER файла в формат x509 - ключевой шаг, делающий возможным работу с сертификатами, выданными MS CA. Этого достаточно, чтобы сертификаты заработали с vSphere.

Установка сертификата на ESXi

Откройте командную строку VMware vSPhere CLI (потребуются vMA или RemoteCLI).

vifs.pl –server ESXhostname –put c:\openssl\certs\rui.key /host/ssl_key
vifs.pl –server ESXhostname –put c:\openssl\certs\rui.crt /host/ssl_cert

Перезагрузите ESXi сервер и подождите пять минут после того, как появится ESXi консоль. Добавьте ESXi сервер в vCenter, процесс больше не должен зависать на 80% и завершаться с ошибкой.

Установка сертификата на vCenter

Сделайте резервную копию имеющихся файлов rui.key, rui.crt, и rui.pfx из папки C:\Documents and Settings\All Users\Application Data\VMware\VMware VirtualCenter\SSL.

Скопируйте ваши файлы rui.key, rui.crt, и rui.pfx в C:\Documents and Settings\All Users\Application Data\VMware\VMware VirtualCenter\SSL.

Замечание: В Windows Server 2008, копируйте файлы в C:\ProgramData\VMware\VMware VirtualCenter\SSL\

Перезапустите службу VirtualCenter Server. Детальную информацию об Остановке, запуске и перезапуске служб vCenter смотрите в (1003895).

Для сброса пароля базы данных, перейдите в папку, где установлен vCenter Server и запустите команду:

vpxd.exe –p

В момент запроса нового пароля введите старый пароль на базу данных, введите его еще раз для подтверждения.

Перезапустите службу VirtualCenter Server. Детальную информацию об Остановке, запуске и перезапуске служб vCenter смотрите в (1003895).

Чтобы установить сертификат в хранилище доверенных сертификатов на vCenter Server: Сделайте двойной щелчок на файле rui.crt, расположенном в C:\Documents and Settings\All Users\Application Data\VMware\VMware VirtualCenter\SSL.

Щелкните "Установить сертификат", "Далее", "Далее".

Выберите "Указать расположение вручную".

Выберите "Доверенные корневые центры идентификации".

Щелкните "ОК", "Далее", "Завершить", "Да".

Подключитесь к vCenter Server, используя новый сертификат. Если узлы ESX находятся в состоянии disconnected, щелкните правой кнопкой на узле, следуйте подсказкам и подключите узел используя учетные данные root.

Blog