Veeam Backup for Azure – Trocando o certificado


Introdução

Alguns clientes precisam trocar o certificado auto-assinado da console Web do Veeam Backup for Azure para um certificado público ou ao menos para um certificado emitido por uma CA interna. Nesse post vou demonstrar como efetuar esse processo seguindo os tópicos a seguir:

  1. Criando o request para o novo certificado
  2. Criando o certificado
  3. Importando certificados da CA
  4. Alterando o certificado


Estou usando o Veeam Backup for Azure como exemplo, mas todas as etapas são as mesmas para Veeam for GCP e Veeam for AWS.

Importante:
Este guia pressupõe que você tenha um domínio público e que tenha criado o registro do host A para o nome DNS que usará.
Além disso, estou usando ZeroSSL apenas para demonstrar o processo de solicitação de um certificado válido, algumas etapas podem ser diferentes dependendo da autoridade de certificação usada.

Criando o CSR

Vamos criar a solicitação de certificado usando o OpenSSL.
A DigiCert possui uma ferramenta web para gerar o comando: https://www.digicert.com/easy-csr/openssl.htm

Conecte-se ao appliance do Veeam Backup for Azure via SSH e execute o comando lá.
Não precisamos fazer isso diretamente no appliance, mas já temos o OpenSSL instalado lá por padrão, então é um bom lugar para usar.



Isso irá gerar dois arquivos:

  • vbaz_itproland_com_br.csr – Este é o request do certificado que precisamos para solicitar na CA.
  • vbaz_itproland_com_br.key – Esta é a chave privada do nosso certificado. Ele será usado para gerar um arquivo PFX no final do processo.

     

Solicitando o certificado


Com o arquivo CSR, podemos solicitar o novo certificado.
Usarei o ZeroSSL, que fornece um certificado gratuito válido por 3 meses, mas podemos usar qualquer outra CA.

Crie uma conta aqui: https://manage.sslforfree.com/
Depois de criar uma conta, faça login e vá em “New Certificate”.



Digite o nome de domínio que usaremos:



Escolha o certificado de 90 dias:



Desabilite a opção “Auto-Generate CSR” e habilite o “Paste Existing CSR” e cole o conteúdo do arquivo CSR
Você deve colar todo o conteúdo, não remova as linhas “BEGIN” e “END”.



Finalize seu pedido com a opção Free:



Agora você deve verificar se é o proprietário do domínio que está usando.
Selecionei a verificação de e-mail e escolhi o endereço de e-mail para receber a verificação de e-mail.



Você deve receber um e-mail como este para verificar o domínio:


Clique em Ir para a página de verificação e cole a chave de verificação



Agora podemos voltar ao Dashboard e baixar nosso novo certificado.
Escolha NGINX e baixe o arquivo zip.



Teremos dois arquivos neste zip:

  • certificate.crt – Nosso certificado
  • ca_bundle.crt – Certificado CA raiz que precisamos instalar no dispositivo


Carregue os dois arquivos no appliance.
Criei uma pasta “cert” e coloquei tudo lá para ficar mais fácil de visualizar:



Criando o PFX


Vamos criar o arquivo PFX para poder importar o certificado na console Web.
Execute o comando abaixo:

openssl pkcs12 -export -out cert_vbaz.pfx -inkey vbaz_itproland_com_br.key -in certificate.crt

Você precisa digitar uma senha que será utilizada durante o processo de importação no Web Console.



O PFX terá sido criado na raiz da pasta:



A última coisa que precisamos fazer no appliance é instalar o certificado CA raiz para que o appliance possa reconhecer a CA da ZeroSSL.
Mova o arquivo “ca_bundle.crt” para o caminho /usr/local/share/ca-certificates com o comando abaixo:

sudo mv ca_bundle.crt /usr/local/share/ca-certificates

Agora execute o comando abaixo para importar o certificado :

sudo update-ca-certificates

 

Substituindo o certificado


Por fim, podemos substituir o certificado usando o PFX.
Na console do Veeam Backup for Azure devemos ir em “Configuration” -> “Settings” -> “Certificates” e escolher a opção “Replace Web Certificate…”:



Selecione a opção “Upload certificate”:



Escolha o arquivo PFX e digite a senha:



Carregue o certificado.



Se tudo funcionar, o novo certificado deve mudar:



Podemos ver que agora o certificado é válido:



Podemos também abrir o certificado para ver mais detalhes:

Com isso concluímos a troca do certificado no Veeam Backup for Azure.
Até mais!

Compartilhe!