Para armazenar um certificado de servidor TLS/SSL assinado pela CA no appliance do Access Pointvocê deve converter o certificado para o formato correto e utilizar scripts do PowerShell ou a API REST do Access Pointpara configurar o certificado.

Para ambientes de produção, a VMware recomenda enfaticamente a substituição do certificado padrão o mais rápido possível. O certificado padrão do servidor TLS/SSL que é gerado ao implementar um appliance do Access Pointnão é assinado por uma Autoridade de Certificação Confiável.
Importante: Utilize também este procedimento para a substituição periódica de um certificado que foi assinado por uma CA confiável antes da expiração do certificado, o que pode acontecer a cada dois anos.

Esse procedimento descreve como utilizar a API REST para substituir o certificado. Uma alternativa mais simples pode ser a utilização de scripts do PowerShell anexados à publicação do blog "Utilizando o PowerShell para Implementar o VMware Access Point," disponível em https://communities.vmware.com/docs/DOC-30835. Se você já implementou um appliance chamado Access Point, executar o script novamente desligará o appliance. Exclua-o e implemente-o novamente com as configurações atuais que especificar.

Pré-requisitos

  • A menos que já possua um certificado de servidor TLS/SSL válido e sua chave privada, obtenha um novo certificado assinado de uma Autoridade de Certificação. Ao gerar uma solicitação de assinatura de certificado (certificate signing request, CSR) para obter um certificado, certifique-se de que também seja gerada uma chave privada. Não gere certificados para servidores utilizando um valor KeyLength inferior a 1024.

    Para gerar o CSR, é preciso conhecer o nome de domínio totalmente qualificado (FQDN) que os dispositivos cliente utilizam para se conectar ao appliance do Access Pointe a unidade organizacional, organização, cidade, estado e país para preencher o nome da Entidade.

  • Converta o certificado para arquivos de formato PEM-e converta os arquivos .pem para o formato de uma linha. Consulte Converter arquivos de certificado para o formato PEM de uma linha.
  • Familiarize-se com a API REST doAccess Point. A especificação para esta API está disponível no seguinte URL na máquina virtual onde o Access Point está instalado: https://access-point-appliance.exemplo.com:9443/rest/swagger.yaml.

Procedimento

  1. Crie uma solicitação JSON para enviar o certificado ao appliance do Access Point. 
    {
  "privateKeyPem": "string",
  "certChainPem": "string"
}

    Neste exemplo, os valores de string são os valores PEM JSON de uma linha que você criou conforme descrito nos pré-requisitos.

  2. Utilize um cliente REST, como o curl ou o postman, para utilizar a solicitação JSON para invocar a API REST do Access Point e armazene o certificado e chave no appliance do Access Point.

    O seguinte exemplo utiliza um comando do curl. No exemplo, access-point-appliance.exemplo.com é o nome de domínio totalmente qualificado do appliance do Access Point e certificado.json é a solicitação JSON que você criou na etapa anterior. 

    curl -k -d @- -u 'admin' -H "Content-Type: application/json" -X PUT https://access-point-appliance.exemplo.com:9443/rest/v1/config/certs/ssl < ~/cert.json

O que Fazer Depois

Se a CA que assinou o certificado não tiver reputação renomada, configure clientes para confiar nos certificados raiz e intermediário.