Definindo um certificado MACHINE SSL personalizado no VMware vCenter 6.5/6.7/7x/8.x – Usando interface web

por virtualizandoaju, publicado em Security, VMware

INTRODUÇÃO

A segurança é uma preocupação fundamental em ambientes virtualizados e, para garantir a proteção dos dados, é essencial utilizar certificados SSL confiáveis. No VMware vCenter 6.5/6.7/7.x/8.x, é possível definir um certificado MACHINE SSL personalizado, utilizando a interface web. Neste post, exploraremos o processo passo a passo para configurar um certificado SSL personalizado no vCenter, permitindo uma comunicação segura entre os componentes do ambiente virtual. Através desse método simples e eficiente, você poderá reforçar a segurança do seu ambiente VMware e garantir a autenticidade e integridade das conexões. Vamos mergulhar nesse tutorial e aprender como personalizar o certificado SSL no vCenter utilizando a interface web.

REQUISITOS

Uma autoridade ceritficadora instalada no ambiente.

Vcenter 7.x ou superior.

ETAPAS

Existem práticas recomendadas de segurança que envolvem a implementação de certificados SSL confiáveis na infraestrutura VMware. Neste tutorial, abordaremos a instalação de certificados no servidor vSphere vCenter.

Por padrão, o servidor vCenter possui um certificado assinado pela VMCA (VMware Certificate Authority), o qual pode ser visualizado no vSphere Client, no menu “Administração” -> “Certificado SSL de Máquina” -> “Visualizar detalhes”. No entanto, ao acessar o vCenter através de um navegador, é exibida a opção “Não seguro” e o certificado é marcado como inválido, revelando que foi emitido pela VMware CA.

Para resolver isso, bastaria instalar o certificado root em todos os locais que acessem o VMware vCenter. Com um certificado cosutimizado, resolve estes dois problemas.

Para substituir o certificado VMCA padrão atribuído, siga as etapas a seguir:

  1. No vSphere Client, clique no botão de três barras localizado no canto superior esquerdo para acessar as configurações.
  2. Na lista de opções, escolha “Administração”.
  3. Navegue até “Certificados” e expanda a seção.
  4. Selecione “Gerenciamento de Certificados”.
  5. Localize o “Certificado SSL da Máquina” (marcado como __MACHINE_CERT) e clique no link “AÇÕES”.
  6. Selecione a opção “Gerar Solicitação de Assinatura de Certificado (CSR)”.

Com essas etapas, você estará pronto para iniciar o processo de substituição do certificado VMCA padrão no vSphere vCenter.

Ao abrir o assistente “Gerar CSR”, você será solicitado a inserir as informações necessárias para obter um novo certificado SSL. As informações que devem ser fornecidas incluem: nome comum (FQDN do vCenter), unidade organizacional, país, estado/província, localidade, endereço de e-mail, host (FQDN do vCenter), nome alternativo do assunto (opcional) (SANs) e tamanho da chave privada. Após preencher esses campos, clique em “Avançar”.

O assistente irá gerar o CSR (Certificate Signing Request), que será exibido na caixa. Você tem a opção de copiar ou baixar esse CSR. É importante guardar o conteúdo do CSR, pois você precisará fornecê-lo à sua Autoridade de Certificação para que seja assinado na etapa seguinte.

Estou no portal interno do certsrv da Autoridade de Certificação (Serviços de Certificados do Microsoft Active Directory) no navegador. Este site permite solicitar um certificado para o seu navegador web, cliente de e-mail ou outro programa. Utilizando um certificado, você pode comprovar sua identidade para as pessoas com as quais se comunica na web, assinar e criptografar mensagens e realizar outras tarefas de segurança, dependendo do tipo de certificado solicitado.

Além disso, este site permite que você faça o download de um certificado de autoridade de certificação (CA), uma cadeia de certificados ou uma lista de certificados revogados (CRL). Você também pode verificar o status de uma solicitação pendente.

Para prosseguir, selecione a opção “Solicitar um certificado” e envie uma solicitação de certificado avançada.

Para enviar uma solicitação de certificado, renovação ou uma solicitação salva à Autoridade de Certificação (CA), cole uma solicitação de certificado CMC ou PKCS #10 codificada em base64, ou uma solicitação de renovação PKCS #7 gerada por uma fonte externa (como um servidor web), na caixa “Solicitação Salva”.

Aqui, na solicitação salva, utilize o conteúdo do CSR copiado ou baixado a partir do gerenciamento de certificados do vCenter Server (incluindo todos os blocos, do início ao fim). Altere o modelo de certificado para “Servidor da Web”.

Selecione a opção codificada em Base 64 e clique em Baixar certificado para o certificado solicitado emitido.

Em seguida, volte para a página de boas-vindas do portal da web certsrv CA. Clique em Baixar um certificado CA, cadeia de certificados ou CRL. Este certificado de CA raiz será necessário na próxima etapa.

Clique em Baixar certificado CA e renomeie-o como root.cer. Estou mantendo todos os arquivos de certificado em um diretório. Esse certificado de CA raiz será necessário na próxima etapa.

Volte para vCenter Server >> Administrations >> Gerenciamento de certificados. Clique no botão Certificado SSL da máquina >> AÇÕES e escolha Importar e substituir certificado.

No Assistente de Substituição de Certificado do vCenter Server, selecione a opção “Substituir por Certificado CA Externo”, onde o CSR é gerado a partir do vCenter Server (com chave privada incorporada), e clique em “Avançar”. Observação: os serviços do vCenter Server serão reiniciados automaticamente após a substituição bem-sucedida do certificado SSL da máquina. Portanto, é importante planejar adequadamente o tempo de inatividade necessário para reiniciar o serviço do servidor vCenter.

Na próxima página, “Substituir por Certificado Assinado Externamente e Chave Privada”, localize o campo “Certificado SSL da Máquina” e clique em “Procurar Arquivo” para selecionar o arquivo certnew.cer. Em seguida, no campo “Cadeia de Certificados Raiz Confiáveis”, clique em “Procurar Arquivo” e selecione o arquivo root.cer. Por fim, clique no botão “Substituir” para concluir o processo.

Escolha o certificado do vcenter.

Escolha o certificado da autoridade certificadora.

Replace!

Após clicar no botão “Substituir”, você verá uma mensagem de sucesso indicando que o certificado foi substituído com êxito no servidor vCenter. Nesse momento, a conexão será encerrada e sua sessão no vSphere Client não será mais autenticada. Em segundo plano, os serviços do vCenter Server estão sendo reiniciados, o que levará algum tempo para que eles sejam ativados e o servidor vCenter comece a funcionar novamente.

Conclusão

Certifique-se que o NTP esteja corretamente configurado.

“Acredite em seu potencial. Sua atitude diante dos desafios é o que fará a diferença entre a vitória e o fracasso.”

Avatar de Desconhecido

Publicado por virtualizandoaju

SOBRE O BLOG: Virtualizandoaju é o meu blog pessoal, visa a criação de tutoriais para uma ampla gama de soluções de data center. Temas populares incluem VMware vSphere, VMware vCenter, VMware vRealize e cloud.

Deixe um comentário

Este site utiliza o Akismet para reduzir spam. Saiba como seus dados em comentários são processados.