ESXI 4 Zertifikate

[Belgarion]

Hallo Zusammen,
und einen schönen Abend.

Ich durchsuche heute seit Stunden die Handbücher, How Tos etc. von VM Ware zum Thema Zertifikate auf ESXI 4.0
Ich komme allerdings irgendwie nicht zurecht.
Daher meine Frage als Zertifikats unerfahrender.....
Die Umgebung sieht wie folgt aus:

1 ESXI 4.0 Host ohne V-Center etc.
Es laufen 3 Virtuelle Server darauf.

Ich schalte mich per VI Sphere Client (IP Adresse) auf den Host und kann so die VM-Verwalten.

Nun habe ich die Aufgabe erhalten, das der Host per SSL Zertifikat abgesichert sein soll.

Also muss ich ja ein CSR vom Host generieren und dieses dann von einer CA (GoDaddy) Zertifizieren lassen.

Dann noch das generierte Zertifikat zurückspielen - alles schön.

Ich habe mich darüber auch mehr als durch die Anleitungen und How tos gewühlt.

Allerdings komme ich überhaupt nicht zurecht und es fängt schon damit an, wie ich ein CRS überhaupt ersteinmal generieren kann auf dem HOST


Vielen Dank im Vorfeld für Eure Hilfe...

Belgarion

[irix]

1. Keiner sagt das du den CSR auf dem Host zu generieren hast... ich mache das fuer alle SSL Zerts auf meiner Linux Dose
2. Keiner verlangt das dein Zert von einer offiziellen CA unterschrieben wird

Die SSL Warnung welche Ausgegeben wird liegt einzig und alleine darin begruendet das
1. der Hostname nicht uebereinstimmt. Sinniger Weise wird bei der Installation als CN fuer das Zert immer der Name "vmware" genommen
2. Die Zertifikatskette ist nicht vollstaendig

Ergo
wenn du die Meldung wirklich nicht sehen magst, mir persoenlich gehts beim Scripten auf den Keks das ich vor lauter Warnungen meine eigenen Fehler nicht gleich sehen kann, dann signiere dein eigenes Zert und importiere das als Trusted Cert in den Zertifikatsspeicher des OS. Da wo gefordert, bzw. gewuenscht bei unseren Kunden, machen wir das ueber eine Gruppenrichtlinie.

Solltest du aber die Umgebung mal vergroesseren bricht die Hoelle los weil aufeinmal unzuaehlige Services mit einander reden und VMware hat da genau NULL dokumentiert* ob und wo bei VMware Converter, Updatemanager, vCenter wo und wie die Zerts ausgetauscht werden muessen.

Das eine Dokument was sie da haben gabs schon zu 3.0 Zeiten und das einzige was sie daran aendern ist die Jahreszahl. Ansonsten waere ihnen schonmal aufgefallen das die OpenSSL Config unter Windows einen anderen Namen hat.

Gruss
Joerg

[Belgarion]

Danke und Hallo Jörg,

1. Doch weil GoDaddy und alle Offenzielen Zertifikatsanbietet ja genau das CSR benötigen.

2. Leider darf ich nur ein Offizielles Zertifikat nehmen. (Willen vom Chef )

Es gibt ja andeutungsweise, den Punkt das man die Certs vom Host ziehen kann, aber genau da habert es bei mir schon, weil mir nicht klar ist wie an die Host Daten rankommen soll.

Vom Spere Client aus geht es definitiv nicht - Schaue ich direkt auf den Host habe ich keine Konsole

Also bin ich der Meinung, das müsste über das CLI funktionieren - aber das ist absolut Neuland für ich und nicht gerade gut dokumentiert.

Gruß

Belgarion

[irix]

Danke und Hallo Jörg,

1. Doch weil GoDaddy und alle Offenzielen Zertifikatsanbietet ja genau das CSR benötigen.

Ich glaube du hast Baeume im Wald..... du darfst das CSR und den Key erzeugen wo du moechtest und das klappt am besten auf Kisten welche ueber die richtigen Boardmittel verfuegen. Hinterher muessen halt nur Zert und Key gemeinsam auf den Ziel Host gebracht werden.

Ich fand das immer lustig das VMware dokumentiert wie man das unter Windows und einem extra zu installierendem OpenSSL.exe hin bekommt fuer ESX Hosts (und vCenter).

Gruss
Joerg

[Belgarion]

Hallo Jörg,

da hast du wahrscheinlich recht. Ich bin ziemlich an Anfang was Zertifikate angeht.

Kannst du mir den vielleicht sagen, wie ich das Zertifikat denn (wenn ich eins habe) auf den Host bekommen????

Denn dann komme ich hoffentlich weiter.

Vielen Dank

Gruß

Belgarion

[irix]

Ich will dich aber auch nicht davon ab halten. Ein ESXi 4.1 sollte ein /sbin/generate-certificates.sh haben und das Zert faellt dann unter /etc/vmware/ssl/ heraus. Wenn du sie extern erzeugst nimm mal nur eine Schluessellaenge von 1024Bit. In der Anfangsphase von 4.0 hatten sie einen Fehler im vCenter drin wo es Probleme mit Keys und grossen Schluessellaengen. Ich kann nicht sagen was da der aktuelle Stand ist.

Hast du mal geschaut obs nen KB zum Thema "SSL Cert ESXi" gibt?

Gruss
Joerg

[Belgarion]

Hallo Jörg,

ja habe ich - dutzende gefunden ohne Antwort die mich weiter gebracht hat oder vielleicht bin ich auch das Problem.

Wie komme ich den auf das Filesystem - liege ich da mit dem VCL Kommandozeilen Tool richtg?

Habe auch nen Artikel gelesen - wo sogar erwähnt wurde das 4.0 nur 512 Schlüssellängen eralubt.

Gruß

Belgarion

[irix]

Also ich hab einen KB gefunden und der referenziert nach http://www.vmware.com/pdf/vsphere4/r40_ ... config.pdf Seite 157.

Was das ablegen der Keys betrifft so geht natuerlich ein WinSCP bzw. ssh und dann die Zwischenablage nachdem du den Techmode ueber die GUI freigeschaltet hast.

Gruss
Joerg

[Belgarion]

Hallo Jörg,

Alles klar.

Vielen Dank, werde mir das morgen dann mal genau ansehen - jetzt bin ich durch für heute

Gruß

Belgarion

[Phantomias]

Ich möchte das Thema hier an dieser Stelle noch einmal aufgreifen.

Für meinen vCenter Sever habe ich nun eigens von meiner internen CA ausgestellte Zertifikate implementiert.
Nun war ich bisher davon ausgegangen , das jeder ESX(i) Server sich dem anschließt. Der ESX ist jedoch der Meinung mit eigenen Zertifikaten hantieren zu wollen.

Ich denke, das ich für diesen Server bestimmt wieder ein eigenes Zertifikat mit OpenSSL generieren muss.
Mit welchen Zertifikat mache ich denn meine CA am ESXi Server bekannt?

Bei mir handelt es sich um eine vSphere 4.1 U1 Umgebung.