Piszki Lab

Analiza przypadku w języku przodków…

VMware vCenter Hyperic 5.8 Appliance: Podmiana certyfikatu SSL serwera.

| 0 comments

Hyperic Appliance, poza oczywistą zaletą jaką jest zainstalowanie wszystkiego jednym ruchem ręki, ma też jedną wadę. Wszystko jest prekonfigurowane. W Labie używam własnego CA i wszystkie usługi jakie tu funkcjonują na portach 443 są wystawiane na certyfikatach podpisanych prze to CA. Dlatego zmiana domyślnego certyfikatu SSL Hyperica to oczywista oczywistość (cytując klasyka). Procedura jest bardzo prosta, logujemy się jako użytkownik root z hasłem podanym w trakcie instalacji appliance. Przechodzimy do katalogu /opt/hyperic/server-current/conf i wydajemy następujące polecenia:

hyp1

Hasło to “hyperic” (jest podane jawnie w pliku hq-server.conf), jak widzimy, klucz ma alias “hq”. Jeśli skasujemy plik hyperic.keystore i wygenerujemy nowy, to w trakcie startowania serwera Hyperic, spotkamy się z komunikatem “SYSTEM IS SHUTTING DOWN DUE TO PRIVATE KEY(S) SYNCHRONIZATION. AUTOMATIC RESTART WOULD ONLY OCCUR IF WRAPPER WATCHDOG IS INSTALLED” i plik hyperic.keystore zostanie nadpisany (jego kopia istnieje w bazie danych). Aby zapobiec tej sytuacji, musimy po wygenerowaniu pliku hyperic.keystore uruchomić jeszcze raz instalator serwera w trybie full. Przechodzimy do katalogu /opt/hyperic i wydajemy następujące polecenia (jako użytkownik hyperic):

hyp2

Mamy już przygotowany keystore, wygenerowany klucz serwera i zaimportowany certyfikat CA, w kolejnym kroku generujemy CSR, wysyłamy do CA i importujemy certyfikat do naszego keystore:

hyp3

Na koniec uruchamiamy ponownie instalator Hyperica (z przełącznikiem -full), jak już wspomniałem, jest to krok niezbędny do uniknięcia problemów z kluczami. Jest to też idealny moment do wskazania innego serwera PostgreSQL jeśli nas to interesuje. Jeśli pozostawiamy wszystko po staremu, to w trakcie działania instalatora wybieramy opcję wymazania bazy danych (to bardzo ważne, jest to kluczowy krok!).

hyp4

hyp5

Uruchamiamy serwer i możemy cieszyć się prawidłowym certyfikatem SSL:

hyp6

Może wydawać się dziwne, że przeprowadzamy operację instalacji wewnątrz appliance, jest to jednak jedyna metoda. Operację przeprowadzamy tylko raz, tuż po załadowaniu appliance, nie ma ona wpływu na przyszłe podnoszenie wersji Hyperica. Jeśli ktoś się czuje na tyle obeznany w PostgreSQL, to wystarczy załadować do bazy danych nowy plik hyperic.keystore i zrestartować serwer. W innym wypadku obowiązuje metoda opisana przeze mnie.

Oceń ten artykuł:
[Total: 1 Average: 4]

Dodaj komentarz

Required fields are marked *.