Configurando certificados assinados pela CA para hosts ESXi 6.x / 7.0 standalone

Este artigo orienta você na configuração dos certificados da Autoridade de Certificação (CA) para um host ESXi 6.x / 7.0. Este artigo é baseado no KB oficial da VMware (2113926).

Este artigo ajuda a substituir o certificado ESXi. Para obter mais informações, consulte Atualizações e certificados de host no guia vSphere Security.

Planejamento

  • Substituir o certificado personalizado do ESXi SSL
  • Adicionar / instalar / alterar e gerar o certificado do host ESXi
  • Importar e substituir o certificado do certificado personalizado do ESXi

Nota: Antes de executar as etapas deste artigo, consulte Criando um Modelo de Autoridade de Certificação Microsoft para a criação de um certificado SSL no vSphere 6.x / 7.0.

GERANDO UM PEDIDO DE CERTIFICADO

Gerar uma solicitação de certificado para um host ESXi 6.x / 7.0.

  1. Instale o aplicativo OpenSSL-Win32 ou OpenSSL-Win64.
  2. Execute o comando abaixo e preencha o que for solicitado:
openssl req -new -nodes -out rui.csr -keyout rui-orig.key -config openssl.cfg
Figura 1 – Gerando arquivo RSA private key.

Verifique se a solicitação do certificado rui.csr foi criado.

Figura 2 – Solicitação de certificado.

Converta a chave para estar no formato RSA, executando o seguinte comando no arquivo rui.key:

openssl rsa -in rui-orig.key -out rui.key
Figura 3 – RSA key.

Depois que a solicitação de certificado é criada, o certificado deve ser entregue à autoridade de certificação para geração do certificado real.

OBTENDO OS CERTIFICADOS

Faça logon na interface da web da autoridade de certificação da Microsoft CA. Por padrão, é http://servername/CertSrv/. Click Request a Certificate.

Figura 4 – Active Directory Certificate Services.

Em Request a Certificate, clique em advanced certificate request.

Figura 5 – advanced ertificate request

Obtendo chave do arquivo rui.csr anteriormente criado.

Figura 6 – rui.key.

Submit a certificate request or renewal request.

Figura 7 – Submint a certificate.

Salve o certificado na área de trabalho do servidor como rui.crt

Figura 8 – Certificate issued.

INSTALANDO E CONFIGURANDO O CERTIFICADO NO ESXI HOST


Efetue login no host com o WinSCP e navegue até o diretório /etc/vmware/ssl. Faça o backup do rui.crt e rui.key.

Figura 9 – Backup dos arquivos do host esxi.


Localize os arquivos rui.csr e rui.key anteriormente criados.

Figura 10 – Localize os arquivos rui.csr e rui.key.

Exclua os arquivos rui.crt e rui.key existentes do diretório /etc/vmware/ssl/ do host esxi.

Figura 11 – Exclua os arquivos rui.crt e rui.key.

Copie o rui.crt e o rui.key recém-criados para o diretório /etc/vmwar /ssl /.

Figura 12 – Copie os novos arquivos.

Reiniciando agentes do host.

Figura 13 – Reiniciando agentes do host.

Verificando certificado emitido pela autoridade certificadora virtualizandoajucert.

Figura 14 – Verificando quem emitiu o certificado.
Figura 15 – Verificando nova autoridade certificadora.

CONCLUSÃO

Criar certificados atribuídos pela CA para um host ESXi 6.x / 7.0 é uma tarefa complexa. Em muitas organizações, é necessário manter a segurança adequada para os requisitos regulamentares. Cada servidor deve ser exclusivo do componente, pois está vinculado ao nome de domínio totalmente qualificado do servidor. Como tal, você não pode simplesmente pegar um único certificado e aplicá-lo a todos os hosts. Atualmente, os certificados curinga ESXI não são suportados, mas mesmo se fossem, é muito mais seguro ter um certificado adequado para cada host.

“Nunca se compare com ninguém neste mundo. Caso o faça, entenda que você estará insultando a si mesmo.”

Bill Gates

Deixe um comentário

Faça o login usando um destes métodos para comentar:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google

Você está comentando utilizando sua conta Google. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s

Este site utiliza o Akismet para reduzir spam. Saiba como seus dados em comentários são processados.