Configurando certificados assinados pela CA para hosts ESXi 6.x / 7.0 standalone

Este artigo orienta você na configuração dos certificados da Autoridade de Certificação (CA) para um host ESXi 6.x / 7.0. Este artigo é baseado no KB oficial da VMware (2113926).

Este artigo ajuda a substituir o certificado ESXi. Para obter mais informações, consulte Atualizações e certificados de host no guia vSphere Security.

Planejamento

Substituir o certificado personalizado do ESXi SSL
Adicionar / instalar / alterar e gerar o certificado do host ESXi
Importar e substituir o certificado do certificado personalizado do ESXi

Nota: Antes de executar as etapas deste artigo, consulte Criando um Modelo de Autoridade de Certificação Microsoft para a criação de um certificado SSL no vSphere 6.x / 7.0.

GERANDO UM PEDIDO DE CERTIFICADO

Gerar uma solicitação de certificado para um host ESXi 6.x / 7.0.

Instale o aplicativo OpenSSL-Win32 ou OpenSSL-Win64.
Execute o comando abaixo e preencha o que for solicitado:

openssl req -new -nodes -out rui.csr -keyout rui-orig.key -config openssl.cfg

Figura 1 – Gerando arquivo RSA private key.

Verifique se a solicitação do certificado rui.csr foi criado.

Converta a chave para estar no formato RSA, executando o seguinte comando no arquivo rui.key:

openssl rsa -in rui-orig.key -out rui.key

Depois que a solicitação de certificado é criada, o certificado deve ser entregue à autoridade de certificação para geração do certificado real.

OBTENDO OS CERTIFICADOS

Faça logon na interface da web da autoridade de certificação da Microsoft CA. Por padrão, é http://servername/CertSrv/. Click Request a Certificate.

Figura 4 – Active Directory Certificate Services.

Em Request a Certificate, clique em advanced certificate request.

Obtendo chave do arquivo rui.csr anteriormente criado.

Submit a certificate request or renewal request.

Salve o certificado na área de trabalho do servidor como rui.crt

INSTALANDO E CONFIGURANDO O CERTIFICADO NO ESXI HOST

Efetue login no host com o WinSCP e navegue até o diretório /etc/vmware/ssl. Faça o backup do rui.crt e rui.key.

Figura 9 – Backup dos arquivos do host esxi.

Localize os arquivos rui.csr e rui.key anteriormente criados.

Figura 10 – *Localize os arquivos rui.csr e rui.key*.

Exclua os arquivos rui.crt e rui.key existentes do diretório /etc/vmware/ssl/ do host esxi.

Figura 11 – Exclua os arquivos rui.crt e rui.key.

Copie o rui.crt e o rui.key recém-criados para o diretório /etc/vmwar /ssl /.

Reiniciando agentes do host.

Verificando certificado emitido pela autoridade certificadora virtualizandoajucert.

Figura 14 – Verificando quem emitiu o certificado.

*Figura 15 – Verificando nova autoridade certificadora.*

CONCLUSÃO

Criar certificados atribuídos pela CA para um host ESXi 6.x / 7.0 é uma tarefa complexa. Em muitas organizações, é necessário manter a segurança adequada para os requisitos regulamentares. Cada servidor deve ser exclusivo do componente, pois está vinculado ao nome de domínio totalmente qualificado do servidor. Como tal, você não pode simplesmente pegar um único certificado e aplicá-lo a todos os hosts. Atualmente, os certificados curinga ESXI não são suportados, mas mesmo se fossem, é muito mais seguro ter um certificado adequado para cada host.

“Nunca se compare com ninguém neste mundo. Caso o faça, entenda que você estará insultando a si mesmo.”

Bill Gates