Сертифікати безпеки та SSL у VMware ESXi та vCenter Server

сертифікати

ESXi та vCenter Server підтримують стандартні X.509 v3 сертифікати для кріплення з'єднання через SSL (Secure Socet Layer). Перевірка сертифікатів увімкнена за замовчуванням і SSL сертифікати використовуються для шифрування мережного трафіку. Тим не менш, при використанні ESXi та vCenter Server сертифікати автоматично генеруються під час встановлення та зберігаються на серверній системі. Ці сертифікати є унікальними і вже дозволяють отримати доступ до сервера через SSL, але вони не перевіряються і не підписані “довіреним центром сертифікації”. Таким чином, стандартні сертифікати є вразливими.

Для того, щоб отримати найбільшу безпеку при використанні SSL-з'єднання (особливо, якщо ви збираєтеся використовувати з'єднання ззовні), необхідно згенерувати нові підписані сертифікати. Якщо сертифікати не встановлено, зв'язок між сервером та vCenter vSphere клієнтами зашифрований за допомогою самозавіреного сертифіката, якого недостатньо для безпечної автентифікації у виробничому середовищі.

Сертифікат складається з двох файлів:

rui.crt - безпосередньо сам сертифікат, rui.key - "прихований" ключ.

Дефолтне розташування сертифікатів таке:

  • Для ESXi5.0/6.0: /etc/vmware/ssl/
  • Для vCenter Server у Windows 2008/2012: C:\Program Data\VMware\VMware VirtualCenter\SSL

Використання сертифікатів у vCenter Server.

Перевірка сертифікатів у vCenter Server увімкнена за промовчанням. Для того, щоб переконатися, підключіться до vCenter Server за допомогою vSphere Client і виберіть:

Потім перевірте SSL Settings на лівій панелі та переконайтеся, що вибрано пункт Check host certificates.

Створення нового сертифіката для ESXi.

Якщо ви змінили ім'я хоста ESXi, видалили сертифікати, абовиникли якісь інші обставини, за яких необхідно згенерувати нові, виконайте такі дії:

1. Підключіться до ESXi хоста через SSH і отримайте root-привілеї.

2. Створіть резервну копію існуючих сертифікатів командами:

3. Для створення нових сертифікатів:

По завершенню ви отримаєте попередження:

Попередження можна проігнорувати — створено нові сертифікати. Виконавши команду:

можна порівняти час створення файлів сертифікатів.

4. Відновлюємо атрибути для створених файлів сертифікатів:

5. Перезавантажуємо хост ESXi.

Створення підписаних сертифікатів для ESXi.

Як центр сертифікації (CA) можна використовувати OpenSSL. І хоча кроки для створення сертифікатів у різних операційних системах можуть дещо відрізнятися, загальний принцип єдиний, оскільки vSphere використовує сертифікати X.509 v3 SSL.

УВАГА! Перед початком переконайтеся, що ви використовуєте OpenSSL версії 0.9.8, інакше SSL не гарантується.

Для спрощення установки OpenSSL в ОС Windows можна скористатися Shining Light Installer, тоді як у FreeBSD і в більшості Linux-дистрибутивів цей пакет вже встановлений за замовчуванням. У Windows також потрібно встановити Microsoft Visual C++ 2008 Redistributable Package (x86).

Перед тим, як розпочати конфігурування OpenSSL, створіть бекап openssl.cfg:

У FreeBSD та Debian:

В інших Linux-дистрибутивах розташування файлу може відрізнятись.

Тепер безпосередньо сам конфіг, який потрібно привести до такого виду:

Жирний виділені поля для заповнення. Якщо ви не вкажете ці параметри, можете ввести їх під час створення сертифіката. Наступна команда створить rui.csr:

або для Windows:

Тепер конвертуємо ключ у RSA-формат наступною командою:

Після того, як створено "запит" повинен бути згенерований безпосередньо сам "відповідь", тобто відповідна складова сертифіката.

Для комерційних центрів сертифікації: Створений запит необхідно направити до центру сертифікації (CA) і отриманий ключ у відповідь встановити на сервер vCenter Server.

1. Відкрийте веб-інтерфейс центру сертифікації Microsoft (Microsoft CA certificate authority web interface). За замовчуванням: http://servername/CertSrv/

2. Перейдіть: Request a certificate > advanced certificate request.

3. Натисніть Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file, або submit a renewal request by using a base-64-encoded PKCS #7 file.

5. Далі слідуйте:

Збережіть створений сертифікат rui.crt та перейдіть до етапу його встановлення.

Для самопідписаних (self-signed) сертифікатів: Наступна команда створить сертифікат за допомогою OpenSSL:

Встановлює підписані сертифікати для хоста ESXi.

По завершенні хост буде готовий для приєднання до кластера, проте потрібно буде виконати наступні кроки для кожного з хостів, де потрібно змінити сертифікат:

  1. Увійдіть до vCenter Server, переведіть хост у Maintance Mode і правим кліком на хості виберіть Disconnect.
  2. Видаліть від'єднаний хост із кластера, по правому кліку виберіть Connect і додайте хост до кластера.