Piszki Lab

Analiza przypadku w języku przodków…

VMware Lab, część 3: Certyfikaty SSL w vCenter (z naciskiem na vCSA)

| 0 comments

Skoro mamy już w naszym labie zagnieżdżone serwery ESXi, to czas najwyższy zainstalować vCenter. Zainstalowanie “dużego” vCenter nie jest trudne, jednak w labie prościej i szybciej jest zainstalować vCenter Server Appliance (vCSA). Trudno jest nawet mówić o instalowaniu, po prostu  wgrywamy gotową maszynę i już. Jest to tak proste, że nie będzie to tematem tego wpisu (tak samo jak wstępna konfiguracja). Jest jednak jeden temat, który sprawia w środowisku vSphere ogromne problemy, są to certyfikaty SSL. Całe środowisko jest o nie oparte i nie ma absolutnie żadnego sensu aby używać vSphere z domyślnymi, samo podpisanymi certyfikatami. Na szczęście, jak już czasem pisałem, są w Internecie ludzie, dzięki którym życie jest łatwiejsze. Jedną z tych osób jest Derek Seaman który stworzył skrypt, będący rozszerzeniem funkcjonalności jaką daje VMware SSL Automation Tool. Dzięki temu skryptowi, wygenerowanie i instalacja certyfikatów SSL w vCenter, trwa dosłownie kilka minut (szczególnie jeśli mamy włączone OCSP w Microsoft CA). Jednak jak łatwo się domyśleć, skrypt napisany w PowerShell w pełni automatyzuje podmianę certyfikatów tylko w vCenter, zainstalowanym w systemie Windows Server. To samo dotyczy VMware SSL Automation Tool, jak na razie nie ma wersji wspierającej vCSA. Ręczna podmiana certyfikatów to droga przez mękę. Czy jest jakieś rozwiązanie?

VMware-vSphere-Lab-Virtual-Edition-–-Part-6-Installing-vCenter-35

A jest Uśmiech

Parę lat temu (w czasach gdy wirtualizacja kojarzyła mi się z zonami w Solarisie 10) napisałem skrypt w bashu, będący w pełni funkcjonalnym CA opartym na OpenSSL. Dziś wyciągnąłem go z lamusa i rozbudowałem o pełną obsługę VMware. Za jego pomocą, można postawić główny (rootca) lub pośredniczący (subca) serwer CA. Generować pary klucz/certyfikat lub podpisywać żądania certyfikacyjne serwerów lub użytkowników. Można też wygenerować i automatycznie zainstalować certyfikaty SSL w vCSA (aby skorzystać z automatu, należy skrypt wgrać na vCSA). Można też wygenerować parę klucz/certyfikat, dla dowolnego serwisu SSL VMware (certyfikat będzie zawierał wszystkie wymagane rozszerzenia). Do działania potrzebny jest dowolny linuks, bash i openssl (automatyczna instalacja SSL w ESXi wymaga vCenter CLI w wersji na linuksa). Myślę, że przy generalnym zwrocie VMware w stronę linuksa, takie narzędzie przyda się w codziennym portfolio administratora.

Wszystko co potrzeba wstępnie skonfigurować, jest opisane w pliku readme.txt, a sam skrypt znajdziecie TUTAJ.

English

Oceń ten artykuł:
[Total: 1 Average: 5]

Dodaj komentarz

Required fields are marked *.