vCenter CA Signed SSL Kurulumu

Bu yazımda sizlere vCenter Server’ın self-signed sertifikası yerine CA signed sertifika yerleştirmeyi ve “Güvenli Değil” hatasını aşmayı açıklayacağım. Test ortamı vCenter versiyon 6.7 fakat işlemler 6.x ve 7.0 versiyonu için uygundur.  vCenter eski sürümlerinde bu işlemi uygulamak çok zahmetli olduğundan birçok kez önemsenmemiştir fakat bazı durumlarda yapılması zorunlu olabiliyor. vCenter’a bağlanan bir uygulama bu gereksinimi istiyor olabilir veya şirketinizin güvenlik politikası bu değişliği yapmanızı zorunlu kılabilir.

 

vCenter Server’a custom sertifika uygulama işlemini temel olarak 3 aşamada tamamlayacağız. Bunlar;

  1. vCenter Server’a SSH bağlantısı kurarak CSR oluşturma
  2. Windows CA vCenter Sertifika talebi için sertifika taslağı oluşturma
  3. Windows CA Web Client üzerinden sertifika talep etme
  4. Oluşan custom sertifikayı vCenter’a import etme

NOT: vCenter üzerinde herhangi bir işlem yapmadan önce backup veya snapshot almayı unutmayınız.

1. vCenter Server’a SSH bağlantısı kurarak CSR oluşturma

Eğer vCenter Server’ın SSH servisi kapalıysa VAMI 5480 portundan vCenter arayüzüne bağlanarak Access tabından SSH enable edebilirsiniz. SSH bağlantısı sağladıktan sonra ilk yapmamız gereken “Certificate Manager” aracını kullanarak CSR generate etmek olacaktır.

Aşağıdaki komutu yazarak “Certificate Manager” açıyoruz ve seçenekleri incelediğimizde asıl amacımız olan Machine SSL sertifikasını Custom sertifika ile yenileme işlemi için 1 seçeneği ile devam ediyoruz. Bir sonraki aşamada bizlere 2 seçenek açılacaktır. İlk seçenek ile başlayacağız yani Machine SSL sertifikası için key generate edeceğiz. 1 ile devam ediyoruz . Oluşturulacak CSR ve Private key’in nerede saklanması istenildiği soruluyor. Dosya yolu olarak örnekte /tmp gösteriyorum.

/usr/lib/vmware-vmca/bin/certificate-manager

Bu aşamada sizden vCenter ve sertifika ile ilgili birkaç bilgi istenilmektedir. Dikkat edilmesi gereken nokta TR olarak yazdığımız ülke kısmının 2 karakter olması zorunluluğu ve FQDN girilmesidir. Ekran alıntısını referans alarak kendi ortamınıza göre değiştirebilirsiniz. VMCA yerine FQDN yazılabilir. IP adresi opsiyoneldir.

Alanlar eksiksiz şekilde doldurulduktan sonra CSR ve Private key tmp altında oluşacaktır. Varolan putty bağlantısını açık tutuyorum ve session’ı duplicate ediyorum son işlemde bu ekrandan devam edeceğiz.

Şimdi vCenter’a SFTP 22 portundan bağlanarak generate ettiğimiz dosyaları almamız gerekmektedir. Bu işlem için WinSCP ve benzeri programlar kullanabilirsiniz. Daha önceden SFTP bağlantısı kurulmadıysa yüksek ihtimal aşağıdaki komut ile root kullanıcısı için bash aktif etmeniz gerekmektedir. Komut sonrasında herhangi bir çıktı almayacaksınız.

/bin/bash using chsh -s "/bin/bash" root

 

2.Windows CA vCenter Sertifika talebi için sertifika taslağı oluşturma

Template oluşturma işlemi Vmware tarafından paylaşılan makale referans alınarak yapılması uygun görülmektedir. “certtmpl.msc” ile sertifika template’lerini açıp Web Server sertifikasını kopyalıyoruz(duplicate). Kopyaladığımız sertifikada Windows Server 2008 Enterprise seçiyoruz çünkü SHA1 algoritması üzerinde bir kriptoloji algoritması kullanacağız. SHA1 kullanmanız birçok tarayıcıda sertifika hatası almanıza sebep olacaktır.

Oluşturulacak yeni sertifika taslağının ismini vSphere olarak verebilirsiniz.

Extension kısmında Application policy edit diyoruz ve Server Authentication  seçeneğiniz kaldırıyoruz.

Key Usage edit diyerek Signature is proof of origin (nonrepudiation)  opsiyonunu aktifleştiriyoruz.

Son olarak  Subject Name tabına gelerek Supply in the request seçeneğinin işaretli olduğuna emin oluyoruz.

 

Template’imizi oluşturduk artık CA server’a yeni template olarak ekleyebiliriz. “certsrv.msc” ile CA server’a bağlanıyoruz ve Certificate Template’e sağ tıklayarak New > Certificate Template to Issue seçeneği ile devam ediyoruz. Oluşturmuş olduğunuz template ismini seçiyorsunuz ve OK ile ekliyorsunuz. Template oluşturma işlemi bu kadar basit. Detaylı bilgi için aşağıdaki makaleyi inceleyebilirsiniz.

 

Creating a Microsoft Certificate Authority Template for SSL certificate creation in vSphere 6.x/7.x (2112009)

https://kb.vmware.com/s/article/2112009

3.Windows CA Web Client üzerinden sertifika talep etme

CA rolünün yüklü olduğu sunucuya web üzerinden  https://CAServer/certsrv adresinden bağlantı sağlıyoruz. Request a Certificate > Advanced diyerek devam edebilirsiniz. Burada oluşturduğumuz sertifika template’ini seçmemiz gerekmektedir. Eğer template’inizi göremiyorsanı IIS’den servis restart ederek tekrar login olmayı deneyebilirsiniz. Üstteki text alanına vCenter’dan aldığımız .CSR uzantılı dosyayı notepad++ ile okuyarak copy-paste yapıyoruz ve Submit ediyoruz. Açılan sayfada hem sertifikayı hemde chain’i “Base 64 encoded” olarak indiriyoruz.

“.p7b” uzantılı dosyayı çift tıklayarak sertifika manager yardımıyla açıyoruz. Gelen ekranda Root sertifikamızı All Tasks, Export seçeneği ile dışarı çıkarıyoruz.  Base-64 encoded X.509 (.CER) formatı seçilmeli ve export edilen dosya uzantısı .cer olmalıdır.

4.Oluşan custom sertifikayı vCenter’a import etme

WinSCP yardımıyla aşağıda ekran alıntısında görülen 3 dosyayı temp altına taşıyoruz ve ilk aşamada açtığımız certificate manager’a geri dönüyoruz. Eğer ekran kapandıysa üzülmeyin ilk paylaştığım komutla certificate manager tekrar başlatabilir 1 seçeneği ile aynı menüye düşebilirsiniz. Biz kapatmadığımız için 1 yani Import seçeneği ile devam ediyoruz. Burada bizden sırasıyla machine_name_ssl.cer, vmca_issued_key.key ve Root sertifikası istenilmektedir. Dosya yollarını gösterdikten sonra “Y” ile işlemi onaylıyoruz. Bu aşamada Machine SSL sertfikası yenilenecek vCenter servisleri restart olacaktır zaman alan bir işlemdir.

Sizde hata almadan aşağıdaki ekran ile karşılaştıysanız sertifika replace edilmiş demektir. Hemen kontrolünü sağlayalım.

Web browser’daki “Güvenli Değil” hatasının giderildiği hemen gözümüze çarpıyor. Son olarak Machine SSL’i vCenter arayüzünden kontrol ediyoruz ve değiştiğini görüyoruz. Başka bir makalemde ESXi hostlar için custom SSL sertifika uygulama işlemini anlatacağım. Okuduğunuz için teşekkürler.

 

NOT: Çalışma öncesi aldığınız snapshot’ı 72 saat içerisinde silmeniz önerilmektedir.

İzzet Can Yağcı

VCAP-DCV 2020, Double VCP-DCV Network & Virtualization, CCNA Routing & Switching, Windows Server 2012 70-410/411

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir