Merhaba Arkadaşlar,
Bugün başlıktan da anlayacağımız üzere vCenter’a ca sertifikası yüklemeyi göreceğiz. vCenter ilk kurulumunda güvenli bağlantı değil uyarısını hep sinir bozucu bulmuşuzdur. vCenter üzerinden datastore alanına dosya yüklemek istediğimizde de aynı uyarıları almışızdır.
vCenter Server’a custom sertifika uygulama işlemini temel olarak 4 aşamada tamamlayacağız.
A. vCenter Server’a SSH bağlantısı kurarak CSR oluşturma
B. Windows CA vCenter Sertifika talebi için sertifika taslağı oluşturma
C. Windows CA Web Client üzerinden sertifika talep etme
D. Oluşan custom sertifikayı vCenter’a import etme
A. vCenter Server’a SSH bağlantısı kurarak CSR oluşturma
Öncelikle vCenter VMware Appliance Management ‘dan vCenter’a SSH bağlantısına izin vereceğiz. Access Tabında Access Settings – SSH bağlantısını akif hale getiriyoruz.
Bağlantı izni verdikten sonra ve bağlandıktan sonra işimiz ca sunucumuzdan bir talepde bulunmak için CSR dosyası almaktır.
/usr/lib/vmware-vmca/bin/certificate-managerKomutunu kullanarak certificate manager ‘a bağlanmak.
Replace Machine SSL certificate with Custom Certificate diyerek ilk adımı başlatıyoruz.
Generate Certificate Signing Request(s) and Key(s) for Machine SSL certificate seçerek devam ediyoruz ve sorulara yanıt veriyoruz.
Yukarıdaki resmi incelediğiniz de birkaç önemli konu var. CSR ve PrivateKey nereye çıkaracağını soruyor. Burada vCenter içinde tmp klasorunu gösteriyorum. 2. en önemli konu ise FQDN kesinlikle dikkatlı yazmanızı öneririm.
Bu ekranımızı kenera bırakarak devam ediyoruz. Sertifikamızı oluşturduğumuzda tekrar dönüp devam edeceğiz.
B. Windows CA vCenter Sertifika talebi için sertifika taslağı oluşturma
Certification Authority bağlanıyoruz ve vmware için bir template oluşturuyoruz. Adım adım fotoraflamayacağım ama adımları tek tek yazacağım.
Certificate Templates > Manage > Web Server > Duplicate Template diyeceğiz.
Oluşturulacak yeni sertifika taslağının ismini VMware olarak verebilirsiniz.
Extension kısmında Application policy edit diyoruz ve Server Authentication seçeneğiniz kaldırıyoruz.
Key Usage edit diyerek Signature is proof of origin (nonrepudiation) opsiyonunu aktifleştiriyoruz.
Son olarak Subject Name tabına gelerek Supply in the request seçeneğinin işaretli olduğuna emin oluyoruz.
Tekrar Certification Authority ‘ a geliyoruz.
Certificate Templates > New > Certificate Templates to Issue diyoruz ve oluşturduğumuz Template ‘i seçiyoruz.
Tüm adımları bitirdiysek sabredin arkadaşlar çok az bir yolumuz kaldı. 🙂
C. Windows CA Web Client üzerinden sertifika talep etme
vCenter’a winscp ile bağlanıyoruz ve tmp altındaki oluşturduğumuz CRS ve Privatekey ‘ i alıyoruz.
Aldığımız CSR doysamıızı txt ile açıyoruz.
CA rolünün yüklü olduğu sunucuya web üzerinden https://X.X.X.X/certsrv adresinden bağlantı sağlıyoruz. Request a Certificate > Advanced diyerek devam edebilirsiniz.
Açılan ekranda Certificate Template seçeneğinde Vmware seçeneğini seçiyoruz ( oluşturduğumuz template ).
Request kısmında ise vcenter tmp içinden aldığımız CSR dosyamızdaki datamızı kopyalıyoruz.
Buradaki adımlarımı tamamladıktan sonra açılan pencerede sertifikamızı indirmemiz kaldı.
Base 64 encoded seçeneği ile Download Certificate ve Dowload Certificate Chain dosyalarımızı indiriyoruz.
.p7b uzantılı sertifikamızda root sertifikamız da bulunmaktadır. Bunu açarak root sertifikamızı export ediyoruz.
Oluşturduğum sertifika sunucusu benim root sertifikam olmaktadır.
D. Oluşan custom sertifikayı vCenter’a import etme
İndirdiğimiz sertifikaları winscp ile tekrar vcenter tmp altına atalım ve cli ekranına geri dönelim.
kaldığımız ekranda Continue to importing Custom certificate(s) and key(s) for Machine SSL certificate seçeneği ile adımlarımıza devam edelim.
Sırasıyla ;
1 . Machine SSL > certnew.cer
2. Private Key > TMP altında oluşturduğu dosya
3. Root Sunucumun Sertifikası > winscp ile attığımız sertifika.
Artık test etme zamanı ve mutlu son !!!!
