Для тех, кто перешел на VMware vcenter 6.0 и хочет что бы все виртуальные машины были подписаны собственным центром сертификации, добро пожаловать под кат…
Для настройки VMware vCenter Server 6.0 в качестве подчиненного центра сертификации необходимо выполнить следующее:
- Создать шаблон сертификата в службе Microsoft CA
1.1. Создание нового шаблона сертификата vSphere 6.0 для настройки VMCA в качестве Подчиненного центра сертификации - Создать ключ и запрос на сертификат
2.1. Редактирование конфигурационного файла для выпуска сертификата
2.2. Создания ключа и запроса на сертификат: - Подписать запрос на сертификат на корпоративном сервере Сертификации
- Загрузить подписанный сертификат в VMware vCenter Server
Создать шаблон сертификата в службе Microsoft CA
Создание нового шаблона сертификата vSphere 6.0 для настройки VMCA в качестве Подчиненного центра сертификации
Подключиться к серверу сертификации по RDP
Нажать Start > Run, ввести certtmpl.msc, и нажать OK.
В Certificate Template Console, щелкнуть правой кнопкой мыши на шаблон Subordinate Certificate Authority и выбрать Duplicate Template.
В окне Duplicate Template, выбрать Windows Server 2003 Enterprise.
Note: If you have an encryption level higher than SHA1, select Windows Server 2008 Enterprise.
Click the General tab.
In the Template display name field, enter vSphere 6.0 VMCA as the name of the new template.
Ensure Publish certificate in Active Directory is selected.
Click the Extensions tab.
Select Key Usage and click Edit.
Ensure that Digital Signature, Certificate signing and CRL signing are enabled.
Ensure that Make this extension critical is enabled.
Click OK.
Click OK to save the template.
Proceed to Adding a new template to certificate templates section in the article to make the newly created certificate template available.
Adding a new template to certificate templates
Connecting to the CA server, you will be generating the certificates from through an RDP session.
Click Start > Run, type certsrv.msc, and click OK.
In the left pane of the Certificate Console, if collapsed, expand the node by clicking the + icon.
Right-click Certificate Templates and click New > Certificate Template to Issue.
Locate vSphere 6.0 or vSphere 6.0 VMCA under the Name column.
Click OK.
Создать ключ и запрос на сертификат
Редактирование конфигурационного файла для выпуска сертификата
Перед созданием закрытого ключа и запроса на сертификат нужно на сервере vCenter отредактировать конфигурационный файл с настройками, необходимыми для формирования запроса сертификата C:\Program Files\VMware\vCenter Server\vmcad\certool.cfg:
#
# Template file for a CSR request
#
# Country is needed and has to be 2 characters
Country = RU
Name = VMware Certificate Authority Intermediate CA
Organization = LLC Magazin Malogo Kreditovaniya
OrgUnit = Croc
State = Moscow
Locality = Moscow
IPAddress =
Email =
Hostname = dc1-vcenter1.mmk.local
Создания ключа и запроса на сертификат:
На сервере vCenter необходимо нужно запустить от имени администратора командную строку и перейти в папку C:\Program Files\VMware\vCenter Server\vmcad и выполнить команду для создания ключа и запроса на сертификат
cd "C:\Program Files\VMware\vCenter Server\vmcad"
certool.exe --initcsr --privkey=c:\priv.key --pubkey=c:\pub.key --csrfile=c:\cert.csr --config=certool.cfg
Подписать запрос на сертификат на корпоративном сервере Сертификации
Для подписания сертификата на корпоративном сервере сертификации необходимо выполнить следующее:
Подключиться на сервер dc1-ca-sub1.mmk.local по RDP и скопировать файл запроса на сертификат cert.csr во временную папку C:\Temp\
Запустить от имени администратора командную строку и перейти в папку C:\Temp:
cd C:\Temp
Подписать запрос на сертификат командой:
certreq -attrib "CertificateTemplate:vSphereVMCSA" -submit cert.csr
В появившемся окне выбрать центр сертификации для выпуска сертификата
Сохранить подписанный сертификат
Загрузить подписанный сертификат в VMware vCenter Server
Для импорта подписанного сертификата в VMware vCenter Server нужно выполнить следующее:
Скопировать подписанный сертификат в папку C:\ на сервере vCenter
Дополнить файл с подписанным сертификатом открытыми ключами вышестоящий центров сертификации в следующем формате:
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
На сервере vCenter необходимо нужно запустить от имени администратора командную строку и перейти в папку C:\Program Files\VMware\vCenter Server\vmcad
cd "C:\Program Files\VMware\vCenter Server\vmcad"
Запустить утилиту по управлению сертификатами certificate-manager.bat
Выбрать пункт 2 (Replace VMCA Root certificate with Custom Signing)
Выбрать пункт 2 (Import custom certificate(s) and key(s) to replace existing VMCA Root Signing certificate)
Указать путь до подписанного сертификата: c:\cert.cer
Указать путь до ключа сертификата: c:\priv.key
Согласиться с заменой существующего Корневого сертификата: Y
Ответить на вопросы в командной строке