In questo articolo verrà descritto come sostituire il certificato autofirmato di default di EXSI con un certificato utilizzando l’autorità di certificazione di windows.
Per generare la chiave privata e il file CSR per generare il certificato è necessario utilizzare OpenSSL, è possibile scaricare direttamente l’eseguibile oppure utilizzare GIT BASH che include questa funzionalità.
Per prima cosa creiamo un file rui.cnf modificando le parti evidenziate con i dati che meglio preferite.
[ req ] default_md = sha512 default_bits = 2048 default_keyfile = rui.key distinguished_name = req_distinguished_name encrypt_key = no prompt = no string_mask = nombstr req_extensions = v3_req [ v3_req ] basicConstraints = CA:false keyUsage = digitalSignature, keyEncipherment, dataEncipherment extendedKeyUsage = serverAuth, clientAuth subjectAltName = DNS:"esxi001.domain.local", DNS:"esxi001", IP:"192.168.0.21" [ req_distinguished_name ] countryName = IT stateOrProvinceName = TV localityName = CITY 0.organizationName = domain.local organizationalUnitName = Information Technology commonName = esxi001.domain.local
Nella richiesta andremmo a inserire sia il nome DNS sia IP della macchina, in questo modo il browser o software che utilizzano Https (es veeam) non forniranno piu errore di sicirezza.
Ora generiamo la chiave privata a 2048 bit
openssl genrsa -out rui.key 2048
Verrà generato un file rui.key nella stessa directory
Ora utilizzando il file di configurazion e la chiave appena generata generiamo la richiesta di certificazione
openssl req -new -key rui.key -out rui.csr -config rui.cnf
Ora nella stessa directory saranno presenti 3 file, il file di configurazione (rui.cnf), la chiave privata (rui.key) e il file CSR (rui.csr)
Ora è necessario che nel nostro dominio sia presente il servizio di certificazione dell’Active directory, se non presente è necessario installalo dal server manager. Inoltre andiamo ad installare anche la funzionalità web per l’emmisione dei certificati. Quest ultimo è un pannello che permette via web di generare certificati in modo semplice e interattivo.
Ora http://<fqdn or IP>/certsrv. Quindi selezionare Richiedi Certificato.
Nella pagina seguente andare in richiesta avanzata certificato per procedere.
Quindi aprire il file rui.crt, copiare il contenuto nella textarea
Quindi nel Certificate Template selezionare Web Server e proseguiamo.
A questo punto selezoniamo Base 64 encoded e scarichiamo il certificato. A questo punto avremmo un file con estestensione .crt.
Se la vostra infrastruttura non è già configurata per utilizzare il certificato RootCa, è consigliabile dopo la configurazione del servizio sul server, distribuire il certificato tramite i criteri di gruppo a tutti i dispositivi del dominio.
A questo punto dobbiamo caricare la chiave privata e il certificato nel nostro server ESXI, prima di tutto di eseguire un backup dei 2 file e di attivare ssh in quanto se avete sbagliato qualcosa nel fare il certificato potreste non riuscire piu a connettervi via web.
Ora colleghiamoci al nostro server via SFTP, possiamo usare WinSCP a tal scopo, e carichiamo rui.crt and rui.key in questa directory /etc/vmware/ssl.
A questo punto riavviamo i servizi trmite questo comando
services.sh restart &tail -f /var/log/jumpstart-stdout.log.
A questo punto riaviamo il browser, il certificato verrà mostrato come attendibile, controllando il percorso di certificazione, dovrebbe mostrare il certificato della catena con il certificato root-ca .