透過微軟證書伺服器自簽名證書替換VMware vCenter證書:達到域內主機訪問vCenter Server是信任狀態

皇帽讲绿帽带法技巧發表於2024-07-24

透過微軟證書伺服器自簽名證書替換VMware vCenter證書:達到域內主機訪問vCenter Server是信任狀態

  • 開始之前的必要條件是已經搭建好微軟AD域和對應的證書伺服器。
  • 確認這些都沒有問題,才可以繼續下一步操作。
  • 已經透過域名的形式安裝好了vCenter Server,並且可以正常訪問。

整體操作步驟邏輯

  1. SSH登入vCenter Server,生成自簽名的CSR和私鑰key。
  2. 在微軟證書伺服器建立新增證書模板。
  3. 確認證書模板沒有問題,然後拿著剛在vCenter Server中生成CSR去微軟證書伺服器申請證書。
  4. 下載好的申請的證書鏈,此時格式是p7b格式,將證書鏈上傳到vCenter Server伺服器中。
  5. 將證書鏈p7b格式轉換為cer格式的證書。
  6. 拿著上面轉換的cer證書和私鑰key在vCenter Server中匯入證書。
  7. 微軟域內環境中的任何一臺加入域的主機測試驗證訪問vCenter Server的域名,確認其訪問的https是否為信任。
  8. 若為信任,則證書替換成功。

操作之前參考文件

  • 我在實際操作之前是參考下面3篇部落格,寫的非常詳細詳實,按照順序步驟執行操作即可成功。
  • 前提條件是自己已經搭建好微軟證書伺服器,並確認執行頒發證書都沒有問題,且vCenter Server也可正常訪問。
  • 3篇部落格文章如下:

https://blog.csdn.net/NOWSHUT/article/details/133952421
https://blog.csdn.net/NOWSHUT/article/details/133952479
https://blog.csdn.net/NOWSHUT/article/details/133952535

我實戰驗證操作過程

申請CSR證書和私鑰

image

image

新增微軟證書模板

  • 先提下,微軟證書伺服器如果是域內環境,基礎架構是先搭建一臺rootCA根證書,然後再基於這臺rootCA根證書搭建一臺中級證書伺服器,之後rootCA證書伺服器關機即可,後面沒她什麼事情了,當然需要用到的時候再開機。
  • 真正後面幹活的是這臺中級證書伺服器,所以此處操作是在這臺中級證書伺服器中執行一序列操作。
  • 基礎操作步驟:
  1. 執行命令certtmpl.msc
  2. 此時會直接開啟證書模板,然後找到Subordinate Certificate Authority將其複製一份模板名稱命名為:vSphere 8.x for VMCA
  3. 在這個新模板上面需要配置的資訊看如下截圖。

image

image

image

image

image

  • 上述Security部分有個坑,就是預設情況下許可權是不夠的,導致後面在申請證書的頁面死活無法看到這裡配置的證書模板,所以如果圖方便,就將這個Security部分的所有使用者Allow部分全部勾選。
  • 正常情況下是沒有問題,會立刻生效,如果不生效,就在域控裡面執行下組策略更新,然後重啟證書伺服器等等操作。
  • 上述操作完成之後,就可以將剛剛新增模板,新增到證書模板然後頒發即可,此處操作就是上面說的坑,如果不生效,就按照上述操作流程走一遍。
  • 新增證書模板頒發步驟。
  • 執行執行命令certsrv.msc
  • 選中Certificate Templates --> New --> Certificate Template Issue
  • 找到之前新建的vSphere 8.x for VMCA 頒發即可

image
image
image

向微軟證書伺服器申請自簽名證書鏈

  • 正常情況搭建好這個Web證書籤名服務,第一次訪問需要輸入域控賬戶和密碼,或者當前中級證書伺服器的本地賬戶和密碼。
  • 進入之後點選Request a Certificate
  • 點選advanced certificate request
  • 將上述第一步在vCenter Server中申請的CSR檔案內容貼上進去(vmca_issued_csr.csr)

image

image

  • 如果上述都沒有問題,下載下來的證書鏈就是certnew.p7b,將這個名稱重新命名為cachain.p7b 然後將其上傳到vCenter Server的/root/vmca/目錄下

  • 使用命令將其轉換為cer格式

  • openssl pkcs7 -print_certs -in cachain.p7b -out vmca_issued.cer

  • 最終需要用到的證書和私鑰名稱如下:
    自簽名根證書鏈:vmca_issued.cer
    自定義金鑰:vmca_issued_key.key

  • 在vCenter Server後臺執行命令:/usr/lib/vmware-vmca/bin/certificate-manager

  • 按照流程填寫操作,跟上述第一步填寫內容一樣即可。

  • 最後一步選中2,匯入自定義證書,然後就是等待,這過程需要花幾分鐘,當顯示100%成功了,說明所有操作完畢,可以使用vCenter Server的域名在域內的任何一臺主機訪問,確認https顯示信任狀態即可。

image

image

最終驗證結果

image

相關文章