Olá pessoal!
Recentemente tive que trocar o certificado do meu VCSA no meu lab e decidi colocar um certificado válido da minha CA do Active Directory. Como isso envolve diversos passos, decidi detalha nesse post.
Gerando CSR
Apesar de ser possível trocar o certificado do vCenter via interface Web, eu já tive vários problemas com isso, então eu prefiro fazer via linha de comando acessando o appliance via SSH.
Então nosso primeiro passo será conectar ao vCenter via SSH.
Ao logar digite “Shell” para entrar no bash:
Vamos executar o Certificate Manager com o comando: /usr/lib/vmware-vmca/bin/certificate-manager
Selecione a opção 1 e digite a senha do usuário administrator do vCenter.
Escolha a opção 1 para criar o certificate request.
Complete todos os campos solicitados:
- O campo Name e VMCA deve ser o FQDN do vCenter;
- Em Hostname coloque FQDN, o hostname e o IP.
Será gerado dois arquivos, o CSR e o KEY.
Faça o download do arquivo .CSR utilizando o WinSCP ou uma ferramenta similar.
Se você tiver problemas para acessar o vCenter via SFTP, siga os procedimentos desse artigo da Broadcom: Error when uploading files to vCenter Server Appliance using WinSCP
Emitindo certificado
No meu exemplo eu possuo o AD Certificate Services para certificados internos, então vou requisitar o certificado baseado no CSR que geramos.
Usarei a página web do ADCS para o processo clicando em Request a certificate.
Usarei a opção Advanced Certificate Request.
Em Saved Request vamos colar o conteúdo da CSR que geramos.
Em Certificate Template podemos utilizar o template Web Server.
Faça o download do certificado utilizando a opção “Download certificate” e a opção “Base 64 encoded“.
Volte a página inicial da CA e clique na opção “Download a CA Certificate“. Vamos precisar do certificado da CA para importar no VCSA também.
Utilize a segunda opção, “Download CA Certificate” e escolha Base 64.
Ao final teremos os dois certificados e a CA root.
Renomei os arquivos para “machine_name_ssl.cer” e “Root64.cer”.
Instalando certificado
Vamos fazer o upload dos dois certificados para o vCenter via SFTP.
No final teremos os seguintes arquivos:
Voltando a sessão do vCenter via SSH, agora vamos escolher a opção 1 “Continue to importing Custom certificate…”
Preencha com os nomes dos arquivos conforme solicitado. E confirme para proceder com a substituição do certificado.
Os serviços do vCenter serão reiniciados e ao final uma mensagem confirmando que o processo finalizou deve ser exibida.
Ao logarmos no vCenter, em Administration -> Certificate Management, veremos que o Machine SSL Certificate foi alterado com sucesso.
Clicando em View Details podemos ver os detalhes do novo certificado.
Com isso finalizamos a troca do certificado.
Para mais informações sobre o processo acesse o KB da Broadcom sobre o assunto: