===== Генерация сертификатов vCenter =====

Здесь будет рассмотрен вопрос выпуска сертификатов при помощи [[Active Directory Certificate Services]].

=== Создание шаблона в УЦ ===

Для издания сертификата vCenter нужен специфический шаблон в УЦ. Создадим его. 

  - На УЦ запускаем управление шаблонами: //certtmpl.msc//
  - Делаем копию шаблона //Web Server//
  - На вкладке //Compatibility// в обоих полях совместимости выставляем по крайней мере //Windows Server 2012//.
  - На вкладке //General// задаем понятное имя нового шаблона.
  - На вкладке //Extensions// правим //Application Policies//, удаляя оттуда //Server Authentication// и //Server Authentication// (если есть).
  - Также на вкладке //Extensions// правим //Basic Constraints// и отмечаем //Enable this extension//.
  - Также на вкладке //Extensions// правим //Key Usage// и отмечаем //Signature is proof of origin (non repudiation)//, остальное здесь оставляем по умолчанию. 
  - На вкладке //Subject Name// проверяем, что выбрана опция //Supply in the request//.

=== Формирование запроса ===

Заходим в vCenter в раздел //Administration -> Certificate Management//. Добавляем доверенные корневые центры и создаём запрос CSR для сертификата машины (//Machine SSL Certificate// -> //Generate Certificate Signing Request//). 

;#;
{{::vcenter_certs_replace.jpg?600|}}
;#;

В CSR заполняем //common name//, равное FQDN vCenter, так же заполняем FQDN в поле //host//. В SAN записываем ВСЕ возможные имена vCenter и на всякий случай его IP.

;#;
{{::vcenter_machine_cert_csr.jpg?600|}}
;#;

Копируем CSR в файл и подписываем его шаблоном, сгенерированным ранее на УЦ. Как подписать запрос конкретным шаблоном описано в статье: [[сертификат из запроса с указанием шаблона]].

**Замена сертификата**

:!: //Перед заменой сертификата желательно сделать резервную копию vCenter. В определенных случаях возникали проблемы с тем, что службы vCenter не стартовали вообще.//

Снова идём в //certificate management// и выбираем опцию //import and replace//, а дальше отмечаем, что собираемся заменить сертификат изданным в другом УЦ, CSR-запрос на который сгенерировал vCenter. Это показано на скриншоте.

{{::vcenter_cert_replace.jpg|}}

Далее вставляем сертификат, сгенерированный для vCenter нашим УЦ - в формате base-64, а также сертификаты всей цепочки доверия УЦ, выдавшего нам сертификат. Цепочка должна быть сформирована следующим образом: сначала идёт издающий УЦ, далее идёт корневой (обратный порядок). Между сертификатами не должно быть пустых строк, т.е. соединяются они следующим образом:

<code>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
</code>

Если всё сделано верно - vCenter установит сертификаты и перезагрузит страницу в браузере. 

:!: //На всякий случай стоит перезагрузить vCenter и проверить - всё ли ОК.//

=== Решение проблем ===

Если с сертификатами что-то не так, а веб-морда vSphere не стартует - можно воспользоваться консольной утилитой управления сертификатами. Запустить её можно следующим образом:

   /usr/lib/vmware-vmca/bin/certificate-manager
{{tag>VMWare VM VCenter VSphere Certificates PKI ADCS}}