預設的情況下,憑證會是自簽的
且為期1年,若不想屆時URL被Browser給打叉叉
下面就是
vCD建置完成後,預設自簽好的憑證內容
正規方式
就是去找第三方CA機構去加簽你的憑證
早在vCD 5.x多的版本
有測試更換過憑證
相隔時間隔太久了,細節大都忘了
現在再來重溫一下,也記錄在這邊
自己若忘了,還可以回來這裡看看
流程大致是這樣:
a.產生憑證請求檔.csr
b.送至第三方CA機構進行加簽
c.收到第三方CA機構加簽完成的憑證.cer
d.同時需要下載第三方CA機構的root憑證
e.至vCD Cell更換憑證
vCD有2個需要對外(tenant)的
1. HTTPS 就是登到vCD的portal
2. Console Proxy 就是可以透過vCD開VM的Console
心血來潮還是趕快來Lab一下
這個Lab不太容易
因為需要另外架個CA系統出來
多虧了Microsoft,讓架個CA憑證系統
不至於太太太困難,我這邊就不多做教學了
以後有機會再做吧~假日還要Lab很累的
說到這
很明顯,想要Lab憑證
就必需要有CA憑證系統,就用Microsoft來架吧~
簡單好用,又提供Web申請介面
佛心來的啊
那麼
就開始吧
我的環境...
192.168.31.53 是DC和CA角色
192.168.31.97 是 vCD97的Cell01
192.168.31.98 是 vCD97的Cell02
192.168.31.99 是 vCD97在NSX的VIP
vCD97 Cell01
是 vcd97-cell01.vmlab3.net
vCD97 Cell02
是 vcd97-cell02.vmlab3.net
切換目錄
並查看一下檔案清單
#cd /opt/vmware/vcloud-director/bin/
#ls -al
建立給HTTPS和Console Proxy服務用的key pair
public key pair和 private key pair,檔案名為 certificates.ks
就完全按照VMware DOC所說的做
#/opt/vmware/vcloud-director/bin/cell-management-tool generate-certs -j -p -o certificates.ks -w P@ssw0rd!
key pair完成後
就會發現多個certificates.ks
別懷疑就是剛剛那一行指令產出來的
#ls -al
切換目錄
#cd /opt/vmware/vcloud-director/jre/bin
查看一下這個目錄
有哪些檔案
#ls -al
為HTTPS建立憑證請求檔http.csr
若有多個Cell,就要到各個Cell裡面去下指令
請自行改一下參數嘿~
#./keytool -keystore /opt/vmware/vcloud-director/bin/certificates.ks -storetype JCEKS -storepass P@ssw0rd! -certreq -alias http -file http.csr -ext "san=dns:vcd97-cell01.vmlab3.net,dns:vcd97-cell01,ip:192.168.31.97"
查看一下產生的檔案http.csr
#ls -al
#./keytool -keystore /opt/vmware/vcloud-director/bin/certificates.ks -storetype JCEKS -storepass P@ssw0rd! -certreq -alias http -file consoleproxy.csr -ext "san=dns:vcd97-cell01.vmlab3.net,dns:vcd97-cell01,ip:192.168.31.97"
將憑證請求檔csr
送到CA機構,並請CA機構指定Web服務類型為Jakarta Tomcat
若以Win2008r2自架的CA
開啟 http://192.168.31.53/certsrv/
>要求憑證>進階憑證要求>將.csr內容貼上去(用文字檔開啟)
進階憑證要求
複製csr檔案的內容
貼到上面後,送出
送出完成
回到CA憑證系統
記得去對於這個加簽需求給進行發行喔
選擇
檢視擱置的憑證要求狀態
點他下載吧
選擇
下載 Base 64編碼的憑證
為了方便識別
我把下載的certnew.cer檔名,改為http.cer
下載CA機構的
根憑證root.cer
選擇"下載CA憑證、憑證鏈結或CRL"
選擇 Base 64 後
下載CA憑證,並命名為 root.cer
將 http.cer和root.cer
這2個檔案,上傳到vCD Cell的
/opt/vmware/vcloud-director/jre/bin 目錄下
我是透過WinSCP上傳的
將CA的根憑證root.cer
匯入到certificate.ks檔案中
#cd /opt/vmware/vcloud-director/jre/bin
#./keytool -import -storetype JCEKS -storepass P@ssw0rd! -keystore /opt/vmware/vcloud-director/bin/certificates.ks -alias root -file root.cer
輸入yes
匯入root.cer完成
將HTTPS加簽後的憑證http.cer
匯入到certificate.ks檔案中
#cd /opt/vmware/vcloud-director/jre/bin
#./keytool -import -storetype JCEKS -storepass P@ssw0rd! -keystore /opt/vmware/vcloud-director/bin/certificates.ks -alias http -file http.cer
將Console Proxy加簽後的憑證console.cer
匯入到certificate.ks檔案中
#cd /opt/vmware/vcloud-director/jre/bin
#./keytool -import -storetype JCEKS -storepass P@ssw0rd! -keystore /opt/vmware/vcloud-director/bin/certificates.ks -alias consoleproxy -file console.cer
#cd /opt/vmware/vcloud-director/jre/bin
#./keytool -storetype JCEKS -storepass P@ssw0rd! -keystore /opt/vmware/vcloud-director/bin/certificates.ks -list
更換HTTP和Console Proxy的憑證
#cd /opt/vmware/vcloud-director/bin
#./cell-management-tool certificates -j -k /opt/vmware/vcloud-director/bin/certificates.ks -w P@ssw0rd!
重啟vCloud Director Cell
service vmware-vcd stop
service vmware-vcd start
service vmware-vcd status
驗收一下
透過Browser去連vCD的portal
查看一下憑證
簽發者已經變成
我自己架的CA憑證系統了
搞定,收工
*****************
參考URL
*****************
用Windows架設CA憑證系統
https://ithelp.ithome.com.tw/articles/10158194
建立憑證請求csr並匯入ks
https://docs.vmware.com/en/VMware-Cloud-Director/9.7/com.vmware.vcloud.install.doc/GUID-89437328-EE0A-40D3-A939-EB8DD70DC1E3.html
更換憑證
https://docs.vmware.com/en/VMware-Cloud-Director/9.7/com.vmware.vcloud.admin.doc/GUID-349882AE-1864-4BCE-BECA-F9EAF785AA06.html
CA單位針對vCD做的更換憑證教學PDF
https://www.vmware.com/content/dam/digitalmarketing/vmware/en/pdf/techpaper/vmware-vcloud-director-certificate-authority-issuance-white-paper.pdf
算是從頭(請求檔)到尾(重啟vCD)的教學
https://virtuallythere.blog/2018/05/03/ssl-part-5-ca-signed-certificates-for-vcloud-director/
算是蠻完整的教學
https://www.livefire.solutions/vcloud-director/how-to-setup-a-ca-issued-ssl-cert-in-vcloud-director-9-5-and-keep-chrome-happy/
沒有留言:
張貼留言