vCenter SSL (Machine SSL Certificate) sertifikası değiştirme

Bazı organizasyonlarda vCenter tarafından kullanılan SSL sertifikasının güvenlik gereği üçüncü parti bir sertifika otoritesi (Certificate Authority / CA) tarafından imzalanmış bir SSL sertifikası ile değiştirilmesi gerekebilir.

vCenter sertifika değişimi aşağıdaki şekilde yapılır (Tüm işlemler vCenter 7.0 üzerinde yapılmıştır):

1- Öncelikle vCenter’dan CA’e iletmek üzere bir CSR oluşturmamız gerekiyor. CSR üretmek için üç farklı yöntem kullanılabilir:

  • vCenter GUI üzerinden Administration –> Certificate Management üzerinden CSR oluşturma.
  • vCenter SSH üzerinden /usr/lib/vmware-vmca/bin/certificate-manager kullanarak CSR oluşturma.
  • OpenSSL kullanarak CSR oluşturma.

Halihazırda ilk iki yöntem dururken neden OpenSSL’i kullanalım diyebilirsiniz. Maalesef hem GUI hem de SSH üzerindeki tool’lar yeterli seviyede özelleştirilebilir değil.

Örneğin bizim ortamımızdaki CA portali ilk iki yöntemle oluşturduğumuz CSR’ları kabul etmedi. GUI’den denediğimizde CA ve host ismi aynı olduğu için duplicate FQDN hatası aldık. GUI’de CA ve host alanları “zorunlu” olduğundan mecburen doldurmak zorundaydık ancak CA bu CSR’ı kabul etmedi.

SSH üzerinden  denediğimizde ise encryption key size’ı CA’in istediği şekilde (4096 bit) olarak oluşturamadık. vCenter’ın bu tool’u key size’ı değiştirmeye izin vermiyor. Tüm bu nedenlerle OpenSSL ile sertifika oluşturmak zorunda kaldık.

OpenSSL kullanarak CSR oluşturma

vCenter’a SSH bağlantısı yapılır ve şu komut çalıştırılır:

openssl req -out vcenter.csr -new -newkey rsa:4096 -keyout vcenter.key

bu komutun çıktısı bize iki adet dosya üretir:

  • CSR dosyamız (vcenter.csr) –> Bu dosyayı SSL sertifikasını alacağımız CA’e iletiyoruz.
  • Private Key (vcenter.key) –> Bu dosyayı openssl rsa -in vcenter.key -check komutuyla açıp içeriğini metin editörüne kopyalıyoruz.

vcenter.csr dosyasını CA’a ilettikten sonra CA bize SSL sertifikasını iletecektir (Biz 3.parti bir sağlayıcıdan sertifika aldık ancak eğer ortamda mevcutsa Microsoft CA Server da kullanılabilirdi). SSL sertifika zinciri CA tarafından kullanılan Root ve Intermediate sertifikaları da içerecektir. Bu sertifikaları export ederek içeriklerini metin düzenleyiciye aktarmak gerekiyor. Bu işlemi Windows’un Certificate Manager snap-in’ini kullanarak yapabilirsiniz.

Şimdi elimizde 4 adet dosya bulunmalı:

  • SSL sertifikası
  • Intermediate sertifika
  • Root sertifika
  • Private key

Artık sertifikamızı vCenter’a import etme aşamasına geçebiliriz.

Administration –> Certificate Management –> Machine SSL Certificate –> Import and Replace Certificate –> Replace with external CA certificate(requires private key) seçeneği ile ilerliyoruz. (CSR’ı OpenSSL yerine direkt olarak vCenter üzerinden direkt olarak üretmiş olsaydık ikinci seçenek olan Replace with external CA certificate where CSR is generated from vCenter Server (private key embedded) ile devam edecektik.)

Yukarıdaki ekranda;

–> Machine SSL Certificate alanına

  • SSL sertifikası

–> Chain of trusted root certificates alanına;

  • Intermediate sertifika
  • Root sertifika

Intermediate ve Root sertifikaları arka arkaya eklediğinizde buna benzer şekilde görünmeli

–> Private Key alanına

  • Private key

dosyanızın içeriğini eklemelisiniz.

Tüm adımları eksiksiz yaptıysanız sertifika değişimi başarıyla gerçekleşecek ve vCenter otomatik olarak yeniden başlayacaktır. Artık vCenter erişiminde yeni SSL sertifikanızı kullanabileceksiniz.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.