vSphere arayüzüne giriş yaptğımızda varsayılan olarak VMware tarafından imzalanmış bir sertifika ile yayımlanmış arayüzümüze erişmekteyiz. Güvenlik nedeni ile, kurum iç prosedürleri gereği ilgili sertifikayı yerel sertifika sunucunuz üzerinden imzalanmasını isteyebilirsiniz. Genellikle bilgi güvenliği birimleri ilgili sertifikanın imzalanmasını talep etmekteler.
certtmpl.msc çalıştır alanına yazarak Certificate Templates Console ekranına erişelim.
Web Server template üzerine sağ tıklayarak Duplicate Template diyerek ilgili Template için bir kopya oluşturalım.
Kopyası oluşturulan sertifikanın üzerine tıklayarak, General sekmesinden Template Display name alanına ve template name için isim girelim ben VCSA olarak oluşturdum. Validity period kısmına 3 years olarak güncelledim. Yanı sıra Compability sekmesinden Certification Authority alanını Windows Server 2008 olarak güncelliyorum.
Extensions sekmesine giriş yaparak Application policies üzerine tıklayarak edit seçeneğine giriş yapalım. Açılan alan üzerinden Server authentication politikasını seçerek remove diyelim ve ilgili politikayı silelim. Application Policies alanına tıkladığımızda Server authentication’ın gittiğini görebiliriz.
Extensions sekmesinden, Key Usage alanına tıklayarak, Signature is proof of origin seçeneğini seçelim ve ok diyelim.
İlgili işlem sonrası Subject Name tabına giriş yaparak, Supply in the request seçeneğini seçerek Apply ve Ok butonuna tıklayip işlemi kaydedelim.
Server Manager ekranını açıp, Tools seçeneğinden Certificate Authority’yi açalım. İlgili panel üzerinden Certificate Templates üzerine sağ tıklayıp New, Certificate Template seçip oluşturmuş oldğumuz sertifika kopyasını kullanılabilir hale getirelim. Certificate Template to Issue alanında oluşturduğumuz sertifika ismini seçip OK diyelim. Aşağıdaki fotoğrafda görüldüğü üzere VCSA sertifikamız ana ekrana gelmektedir.
Sertifika sunucusu üzerindeki işlemlerimizi hallettik. Sonraki işlemimiz ssh ile vSphere üzerine bağlanarak shell e giriş yapalım.
Winscp ile vSphere üzerine bağlanabilmek için aşağıdaki komutu çalıştırmamız gerekmetkedir. Bu komut çalıştırılmazsa winscp ile ilgili sunucuya bağlanamamaktayız.
chsh -s /bin/bash root
Sertifika manageri açmak için aşağıdaki komutu çalıştıralım,
/usr/lib/vmware-vmca/bin/certificate-managerCustom sertifika kullanarak ssl sertifikasını değiştireceğimiz için 1 seçeneğini seçerek ilerleyelim. vSphere kimlik doğrulama işlemini gerçekleştirmemiz gerekmektedir. administrator@vsphere.local kullanıcısı ve parolasını girerek sertifikamız için request dosyası oluşturmamız gerekmektedir. Bu işlem için 1 seçeneğini seçelim ve certool açılarak csr dosyamızı oluşturalım.
Aşağıdaki ayarları certool.cfg aracılığıyla dolduralım.
Req dosyamızın ve key dosyamınızın nereye export edileceğini belirtilelim.
Output directory path: /tmp/
Enter proper value for 'Country' [Default value : US] (must be 2 character value only) : TR
Enter proper value for 'Name' [Default value : CA] (VCSA-CA or FQDN) : fqdn.bilgisi
Enter proper value for 'Orgnaization' [Default value : VMware] : organizasyon bilgisi
Enter proper value for 'OrgUnit' [Default value : VMware Engineering] : Organizasyon birimi
Enter proper value for 'State' [Default value : California] : Bölge
Enter proper value for 'Locality' [Default value : Palo Alto] : Lokasyon
Enter proper value for 'IP Address' (Provide comma seperated values for multiple IP addresses) [optional] : vsphere ip bilgisi
Enter proper value for 'Email' [Default value : email@acme.com] : yetkili mail bilgisi
Enter proper value for 'Hostname' (Provide comma separated values for multiple Hostname entries) [Enter valid Fully Qualified Domain Name(FQDN), For Example : example.domain.com] : vcsa, vcsa.xxxx fqdn bilgisi
Enter proper value for VMCA 'Name' : fqdn vSphere bilgisiBu bilgileri girdikten sonra certool arkada csr dosyamızı belirtilen alana oluşturmaktadır.
İşlem tamamlandıktan sonra 2 seçenğini kullanarak Certificate Managerden çıkış yapalım.
Datalarımızı aldık. Active Directory Certificate Services’imizi açalım. https://fqdn ya da ip/certsrv sayfasından CA rolümüzün yüklü olduğu makinemiz üzreinden certsrv web sayfamızı açalım.
Request a certificate seçeneğine tıklayarak sertifika talebinde bulunacağımız alana geçiş yapalım, ve sonraki sayfa üzerinden advanced certificate request diyerek gelişmiş sertifika talebi sayfasına erişelim.
Bir önceki sayfada oluşturmuş olduğumuz .csr sayfasını not defteri ile açıp içeriğini Saved Request paneline yapıştırıp, sertifika şablonunu VCSA diye oluşturmuş olduğumuz templete seçerek submit diyerek ilerleyelim.
Base 64 encoded alanını seçerek download certificate ve download certificate chain seçeneklerini indirelim. Download certificate altında certnew.cer dosyamız yani ilgili fqdni içeren sertifikamız yer alacak, chain içerisinde hem ilgil sertifika hem de domain root sertifikamız zincir halinde yer almaktadır.
Chain dosyamızı açtığımızda root sertifikamız üzerine sağ tıklayıp export diyelim,
Belirttiğimiz dizine root sertifikasını export edelim, yanı sıra ilk indirdiğimiz sertifikamız ilgili fqdn’i içermekteydi,
iki dosyayı da alıp winscp ile /tmp/ dizini altına alalım, key dosyamız zaten ilk adımdan itibaren /tmp dizinde durmakta.
Certificate manageri ilgili komut ile tekrardan açalım,
/usr/lib/vmware-vmca/bin/certificate-manager
Birinci seçenek ile ilerleyelim, vsphere local hesap ile kimlik doğrulama işlemini gerçekleştirdikten sonra, oluşturmuş olduğumuz sertifikanın içeri import edilmesi için 2 numaralı seçeneği seçerek ilerliyoruz.
Burada: Custom certificate for Machile SSL file alanına ilk indirdiğimiz sertifikamızı, : /tmp/certnew.cer
Custom key for Machine SSL file alanına req dosyası oluşturduğumuzda bizimle sistemin paylaştığı .key dosyasını : /tmp/vmcsa_issued_key.key
The signin certificate of the machine ssl certificate file alanına ise export ettiğimiz root sertifikamızın yolunu gösteriyoruz. : /tmp/caroot.cer
Sertifikalarımızın yerini gösterdikten sonra uygulamamızın ssl sertifikaları değiştirmesini ve servislerini restart etmesini bekleyeceğiz.
%100 completed All task completed successfully uyarısını aldığımızda kendimize geçmiş olsun diyip, browser üzerinden ssl doğrulamasını yapabiliriz.
