Генерация сертификатов vCenter
Здесь будет рассмотрен вопрос выпуска сертификатов при помощи Active Directory Certificate Services.
Создание шаблона в УЦ
Для издания сертификата vCenter нужен специфический шаблон в УЦ. Создадим его.
- На УЦ запускаем управление шаблонами: certtmpl.msc
- Делаем копию шаблона Web Server
- На вкладке Compatibility в обоих полях совместимости выставляем по крайней мере Windows Server 2012.
- На вкладке General задаем понятное имя нового шаблона.
- На вкладке Extensions правим Application Policies, удаляя оттуда Server Authentication и Server Authentication (если есть).
- Также на вкладке Extensions правим Basic Constraints и отмечаем Enable this extension.
- Также на вкладке Extensions правим Key Usage и отмечаем Signature is proof of origin (non repudiation), остальное здесь оставляем по умолчанию.
- На вкладке Subject Name проверяем, что выбрана опция Supply in the request.
Формирование запроса
Заходим в vCenter в раздел Administration → Certificate Management. Добавляем доверенные корневые центры и создаём запрос CSR для сертификата машины (Machine SSL Certificate → Generate Certificate Signing Request).
В CSR заполняем common name, равное FQDN vCenter, так же заполняем FQDN в поле host. В SAN записываем ВСЕ возможные имена vCenter и на всякий случай его IP.
Копируем CSR в файл и подписываем его шаблоном, сгенерированным ранее на УЦ. Как подписать запрос конкретным шаблоном описано в статье: сертификат из запроса с указанием шаблона.
Замена сертификата
Перед заменой сертификата желательно сделать резервную копию vCenter. В определенных случаях возникали проблемы с тем, что службы vCenter не стартовали вообще.
Снова идём в certificate management и выбираем опцию import and replace, а дальше отмечаем, что собираемся заменить сертификат изданным в другом УЦ, CSR-запрос на который сгенерировал vCenter. Это показано на скриншоте.
Далее вставляем сертификат, сгенерированный для vCenter нашим УЦ - в формате base-64, а также сертификаты всей цепочки доверия УЦ, выдавшего нам сертификат. Цепочка должна быть сформирована следующим образом: сначала идёт издающий УЦ, далее идёт корневой (обратный порядок). Между сертификатами не должно быть пустых строк, т.е. соединяются они следующим образом:
-----END CERTIFICATE----- -----BEGIN CERTIFICATE-----
Если всё сделано верно - vCenter установит сертификаты и перезагрузит страницу в браузере.
На всякий случай стоит перезагрузить vCenter и проверить - всё ли ОК.
Решение проблем
Если с сертификатами что-то не так, а веб-морда vSphere не стартует - можно воспользоваться консольной утилитой управления сертификатами. Запустить её можно следующим образом:
/usr/lib/vmware-vmca/bin/certificate-manager