Impostazione di VMCA come autorità di certificazione intermedia tramite la CLI

È possibile utilizzare la CLI per sostituire il certificato root VMCA con un certificato firmato da un'autorità di certificazione di terze parti che includa VMCA nella catena di certificati. In seguito, tutti i certificati generati da VMCA includono l'intera catena. È possibile sostituire i certificati esistenti con certificati appena generati.

Se si utilizza VMCA come autorità di certificazione intermedia o si utilizzano certificati personalizzati, si potrebbe riscontrare una significativa complessità, un potenziale impatto negativo sulla sicurezza e un aumento non necessario del rischio operativo. Per ulteriori informazioni sulla gestione dei certificati in un ambiente vSphere, vedere il post del blog intitolato New Product Walkthrough - Hybrid vSphere SSL Certificate Replacement all'indirizzo http://vmware.com/go/hybridvmca.

Sostituzione del certificato root (autorità di certificazione intermedia) tramite la CLI

Il primo passaggio nella sostituzione dei certificati VMCA con certificati personalizzati consiste nella generazione di una richiesta CSR e nell'invio di questa richiesta CSR per la firma. Utilizzare quindi la CLI per aggiungere il certificato firmato in VMCA come certificato root.

È possibile utilizzare l'utilità Gestione certificati o un altro strumento analogo per generare la richiesta CSR. La richiesta CSR deve soddisfare i seguenti requisiti:

Dimensioni chiave: da 2048 bit (minimo) a 8192 bit (massimo) (con codifica PEM)
Formato PEM. VMware supporta PKCS8 e PKCS1 (chiavi RSA). Quando le chiavi vengono aggiunte in VECS, vengono convertite in PKCS8.
x509 versione 3
L'estensione CA deve essere impostata su true per i certificati root e la firma del certificato deve essere presente nell'elenco dei requisiti. Ad esempio:
```
basicConstraints        = critical,CA:true
keyUsage                = critical,digitalSignature,keyCertSign
```
La firma di CRL deve essere abilitata.
L'estensione EKU (Extended Key Usage) può essere vuota o contenere l'Autenticazione server.
Nessun limite esplicito alla lunghezza della catena di certificati. VMCA utilizza il valore predefinito di OpenSSL, ovvero 10 certificati.
I certificati con caratteri jolly o con più nomi DNS non sono supportati.
Non è possibile creare CA secondarie di VMCA.
Per un esempio di utilizzo dell'autorità di certificazione Microsoft, vedere l'articolo della Knowledge Base di VMware all'indirizzo https://kb.vmware.com/s/article/2112009, Creazione di un modello dell'autorità di certificazione Microsoft per la creazione di certificati SSL in vSphere 6.x.

Nota: Il certificato FIPS di vSphere convalida solo dimensioni della chiave RSA di 2048 bit e 3072 bit.

Quando si sostituisce il certificato root, VMCA convalida i seguenti attributi del certificato:

Dimensioni chiave: da 2048 bit (minimo) a 8192 bit (massimo).
Utilizzo chiavi: Cert Sign
Vincolo di base: CA del tipo di oggetto

Procedura

Generare una richiesta CSR e inviarla all'autorità di certificazione.
Seguire le istruzioni dell'autorità di certificazione.
Preparare un file di certificato che includa il certificato VMCA firmato e la catena CA completa dell'autorità di certificazione aziendale o di terze parti. Salvare il file, ad esempio rootca1.crt.
È possibile eseguire questo passaggio copiando tutti i certificati CA in formato PEM all'interno di un unico file. Iniziare con il certificato root VMCA e finire con il certificato PEM CA root. Ad esempio:
```
-----BEGIN CERTIFICATE-----
<Certificate of VMCA>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<Certificate of intermediary CA>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<Certificate of Root CA>
-----END CERTIFICATE-----
```

Arrestare tutti i servizi e avviare i servizi che gestiscono la creazione, la propagazione e lo storage dei certificati.

service-control --stop --all
service-control --start vmafdd
service-control --start vmdird
service-control --start vmcad

Sostituire la CA root VMCA esistente.
```
certool --rootca --cert=rootca1.crt --privkey=root1.key
```
Quando si esegue questo comando:
- Aggiunge il nuovo certificato root personalizzato alla posizione del certificato nel file system.
- Aggiunge il certificato root personalizzato all'archivio TRUSTED_ROOTS in VECS (dopo un ritardo).
- Aggiunge il certificato root personalizzato in vmdir (dopo un ritardo).
(Facoltativo) Per propagare la modifica a tutte le istanze di vmdir (VMware Directory Service), pubblicare il nuovo certificato root in vmdir, specificando il percorso file completo per ogni file.
Ad esempio, se il certificato ha un solo certificato nella catena:
```
dir-cli trustedcert publish --cert rootca1.crt
```
Se il certificato ha più di un certificato nella catena:
```
dir-cli trustedcert publish --cert rootcal.crt --chain
```
La replica tra nodi vmdir avviene ogni 30 secondi. Non è necessario aggiungere il certificato root a VECS in modo esplicito perché VECS esegue il polling di vmdir per i nuovi file del certificato root ogni 5 minuti.
(Facoltativo) Se necessario, è possibile forzare un aggiornamento di VECS.
```
vecs-cli force-refresh
```
Riavviare tutti i servizi.
```
service-control --start --all
```

Esempio: Sostituzione del certificato root

Sostituire il certificato root VMCA con il certificato root CA personalizzato utilizzando il comando certool con l'opzione --rootca.

/usr/lib/vmware-vmca/bin/certool --rootca --cert=<path>/root.pem -–privkey=<path>/root.key

Quando si esegue questo comando:

Aggiunge il nuovo certificato root personalizzato alla posizione del certificato nel file system.
Aggiunge il certificato root personalizzato all'archivio TRUSTED_ROOTS in VECS.
Aggiunge il certificato root personalizzato in vmdir.

Operazioni successive

È possibile rimuovere il certificato root VMCA originale dall'archivio dei certificati se richiesto dai criteri dell'azienda. In caso contrario, è necessario sostituire il certificato di firma di vCenter Single Sign-On. Vedere Sostituzione di un certificato STS di vCenter Server tramite la riga di comando.

Sostituzione dei certificati SSL delle macchine (autorità di certificazione intermedia) tramite la CLI

Dopo aver ricevuto il certificato firmato dall'autorità di certificazione, è possibile utilizzare la CLI per renderlo il certificato root VMCA e sostituire tutti i certificati SSL delle macchine.

Questi passaggi sono essenzialmente analoghi ai passaggi previsti per effettuare la sostituzione con un certificato che utilizza VMCA come autorità di certificazione. Tuttavia, in questo caso, VMCA firma tutti i certificati con la catena completa.

Ogni macchina deve disporre di un certificato SSL della macchina per garantire la comunicazione sicura con gli altri servizi. Quando più istanze di vCenter Server sono connesse nella configurazione Modalità collegata avanzata, è necessario eseguire i comandi di generazione dei certificati SSL della macchina in ogni nodo.

Prerequisiti

Per ogni certificato SSL della macchina, SubjectAltName deve contenere DNS Name=<Machine FQDN>.

Procedura

Fare una copia di certool.cfg per ogni macchina che richiede un nuovo certificato.
Il file certool.cfg si trova nella directory /usr/lib/vmware-vmca/share/config/.
Modificare il file di configurazione personalizzato per ogni macchina in modo che includa il nome di dominio completo della macchina.
Eseguire NSLookup rispetto all'indirizzo IP della macchina per visualizzare l'elenco DNS del nome, quindi utilizzare tale nome per il campo Nome host nel file.

Generare una coppia di file di chiavi pubblica/privata e un certificato per ogni macchina, passando il file di configurazione appena personalizzato.

Ad esempio:

certool --genkey --privkey=machine1.priv --pubkey=machine1.pub
certool --gencert --privkey=machine1.priv --cert machine42.crt --Name=Machine42_Cert --config machine1.cfg

Arrestare tutti i servizi e avviare i servizi che gestiscono la creazione, la propagazione e lo storage dei certificati.

service-control --stop --all
service-control --start vmafdd
service-control --start vmdird
service-control --start vmcad

Aggiungere il nuovo certificato a VECS.
Per comunicare tramite SSL, tutte le macchine necessitano del nuovo certificato nell'archivio dei certificati locale. È necessario prima eliminare la voce esistente per poi procedere all'aggiunta della nuova voce.
```
vecs-cli entry delete --store MACHINE_SSL_CERT --alias __MACHINE_CERT  
vecs-cli entry create --store MACHINE_SSL_CERT --alias __MACHINE_CERT --cert machine1.cert
--key machine1.priv
```
Riavviare tutti i servizi.
```
service-control --start --all
```

Esempio: Sostituzione dei certificati SSL della macchina (VMCA è un'autorità di certificazione intermedia)

Creare un file di configurazione per il certificato SSL e salvarlo come ssl-config.cfg nella directory corrente.

Country = US
Name = vmca-<FQDN-example>
Organization = VMware
OrgUnit = VMware Engineering
State = California 
Locality = Palo Alto
Hostname = <FQDN>

Generare una coppia di chiavi per il certificato SSL della macchina. In una distribuzione di più istanze di vCenter Server connesse nella configurazione Modalità collegata avanzata, eseguire questo comando in ogni nodo di vCenter Server.
```
/usr/lib/vmware-vmca/bin/certool --genkey --privkey=ssl-key.priv --pubkey=ssl-key.pub
```
I file ssl-key.priv e ssl-key.pub vengono creati nella directory corrente.
Generare il nuovo certificato SSL della macchina. Questo certificato è firmato da VMCA. Se il certificato root VMCA è stato sostituito con un certificato personalizzato, VMCA firma tutti i certificati con la catena completa.
```
/usr/lib/vmware-vmca/bin/certool --gencert --cert=new-vmca-ssl.crt --privkey=ssl-key.priv --config=ssl-config.cfg
```
Il file new-vmca-ssl.crt viene creato nella directory corrente.

(Facoltativo) Elencare il contenuto di VECS.

/usr/lib/vmware-vmafd/bin/vecs-cli store list

Output di esempio in vCenter Server:

output (on vCenter):
MACHINE_SSL_CERT
TRUSTED_ROOTS
TRUSTED_ROOT_CRLS
machine
vsphere-webclient
vpxd
vpxd-extension
hvc
data-encipherment
APPLMGMT_PASSWORD
SMS
wcp
KMS_ENCRYPTION

Sostituire il certificato SSL della macchina in VECS con il nuovo certificato SSL della macchina. I valori --store e --alias devono corrispondere esattamente ai nomi predefiniti.
- In ogni vCenter Server, eseguire i comandi seguenti per aggiornare il certificato SSL della macchina nell'archivio MACHINE_SSL_CERT. È necessario aggiornare il certificato per ogni macchina separatamente perché ciascuna ha un FQDN diverso.
```
/usr/lib/vmware-vmafd/bin/vecs-cli entry delete --store MACHINE_SSL_CERT --alias __MACHINE_CERT
/usr/lib/vmware-vmafd/bin/vecs-cli entry create --store MACHINE_SSL_CERT --alias __MACHINE_CERT --cert new-vmca-ssl.crt --key ssl-key.priv
```

Sostituzione dei certificati utente della soluzione (autorità di certificazione intermedia) tramite la CLI

Dopo aver sostituito i certificati SSL delle macchine, è possibile utilizzare la CLI per sostituire i certificati utente della soluzione.

Molti clienti VMware non sostituiscono i certificati utente della soluzione. Sostituiscono solo i certificati SSL delle macchine con certificati personalizzati. Questo approccio ibrido soddisfa i requisiti dei team di sicurezza.

I certificati possono trovarsi dietro un proxy o essere certificati personalizzati.
Non vengono utilizzate CA intermedie.

Sostituire il certificato utente della soluzione della macchina e il certificato utente della soluzione in ciascun sistema vCenter Server.

Nota: Quando vengono elencati i certificati utente della soluzione nelle distribuzioni di grandi dimensioni, l'output di /usr/lib/vmware-vmafd/bin/dir-cli list include tutti gli utenti della soluzione di tutti i nodi. Eseguire /usr/lib/vmware-vmafd/bin/vmafd-cli get-machine-id --server-name localhost per trovare l'ID della macchina locale per ogni host. Ciascun nome utente della soluzione include l'ID della macchina.

Prerequisiti

Il certificato di ogni utente della soluzione deve avere un Subject diverso. È consigliabile includere ad esempio il nome utente della soluzione (come vpxd) o un altro identificatore univoco.

Procedura

Fare una copia di certool.cfg, rimuovere i campi Nome, Indirizzo IP, Nome DNS e E-mail e rinominare il file, ad esempio con sol_usr.cfg.
È possibile attribuire un nome ai certificati dalla riga di comando come parte della generazione. Le altre informazioni non sono necessarie per gli utenti della soluzione. Se si lasciano le informazioni predefinite, i certificati generati possono creare confusione.
Generare una coppia di file di chiavi pubblica/privata e un certificato per ciascun utente della soluzione, passando il file di configurazione appena personalizzato.
Ad esempio:
```
certool --genkey --privkey=vpxd.priv --pubkey=vpxd.pub
certool --gencert --privkey=vpxd.priv --cert vpxd.crt --Name=VPXD_1 --config sol_usr.cfg
```
Individuare il nome di ogni utente della soluzione.
```
/usr/lib/vmware-vmafd/bin/dir-cli service list 
```
È possibile utilizzare l'ID univoco restituito quando si sostituiscono i certificati. L'input e l'output potrebbero essere come segue:
```
/usr/lib/vmware-vmafd/bin/dir-cli service list
Enter password for [email protected]:
1. machine-623bef28-0311-436e-b21f-6e0d39aa5179
2. vsphere-webclient-623bef28-0311-436e-b21f-6e0d39aa5179
3. vpxd-623bef28-0311-436e-b21f-6e0d39aa5179
4. vpxd-extension-623bef28-0311-436e-b21f-6e0d39aa5179
5. hvc-623bef28-0311-436e-b21f-6e0d39aa5179
6. wcp-1cbe0a40-e4ce-4378-b5e7-9460e2b8200e
```
In una distribuzione di più istanze di vCenter Server connesse nella configurazione Modalità collegata avanzata, l'output di /usr/lib/vmware-vmafd/bin/dir-cli service list include tutti gli utenti della soluzione di tutti i nodi. Eseguire /usr/lib/vmware-vmafd/bin/vmafd-cli get-machine-id --server-name localhost per trovare l'ID della macchina locale per ogni host. Ciascun nome utente della soluzione include l'ID della macchina.

Arrestare tutti i servizi e avviare i servizi che gestiscono la creazione, la propagazione e lo storage dei certificati.

service-control --stop --all
service-control --start vmafdd
service-control --start vmdird
service-control --start vmcad

Sostituire il certificato esistente in vmdir e quindi in VECS.
Per gli utenti della soluzione, è necessario aggiungere i certificati in questo ordine. Ad esempio:
```
dir-cli service update --name <vpxd-xxxx-xxx-7c7b769cd9f4> --cert ./vpxd.crt
vecs-cli entry delete --store vpxd --alias vpxd
vecs-cli entry create --store vpxd --alias vpxd --cert vpxd.crt --key vpxd.priv
```
Nota: Gli utenti della soluzione non possono accedere a vCenter Single Sign-On se non si sostituisce il certificato in vmdir.
Riavviare tutti i servizi.
```
service-control --start --all
```

Esempio: Sostituzione dei certificati utente della soluzione (CA intermedia)

Generare una coppia di chiavi pubblica/privata per ciascun utente della soluzione in ogni nodo di vCenter Server in una configurazione Modalità collegata avanzata. Ciò include una coppia per la soluzione della macchina e una coppia per ogni utente aggiuntivo della soluzione (vpxd, vpxd-extension, vsphere-webclient, wcp).
1. Generare una coppia di chiavi per l'utente della soluzione della macchina.
```
/usr/lib/vmware-vmca/bin/certool --genkey --privkey=machine-key.priv --pubkey=machine-key.pub
```
2. Generare una coppia di chiavi per l'utente della soluzione vpxd in ogni nodo.
```
/usr/lib/vmware-vmca/bin/certool --genkey --privkey=vpxd-key.priv --pubkey=vpxd-key.pub
```
3. Generare una coppia di chiavi per l'utente della soluzione vpxd-extension in ogni nodo.
```
/usr/lib/vmware-vmca/bin/certool --genkey --privkey=vpxd-extension-key.priv --pubkey=vpxd-extension-key.pub
```
4. Generare una coppia di chiavi per l'utente della soluzione vsphere-webclient in ogni nodo.
```
/usr/lib/vmware-vmca/bin/certool --genkey --privkey=vsphere-webclient-key.priv --pubkey=vsphere-webclient-key.pub
```
5. Generare una coppia di chiavi per l'utente della soluzione wcp in ogni nodo.
```
/usr/lib/vmware-vmca/bin/certool --genkey --privkey=wcp-key.priv --pubkey=wcp-key.pub
```
Generare certificati utente della soluzione firmati mediante il nuovo certificato root VMCA per l'utente della soluzione della macchina e per ciascun utente aggiuntivo della soluzione (vpxd, vpxd-extension, vsphere-webclient, wcp) in ogni nodo di vCenter Server.
Nota: Il parametro --Name deve essere univoco. L'inclusione del nome dell'archivio degli utenti della soluzione consente di individuare facilmente quale certificato è associato a quale utente della soluzione. L'esempio include il nome, ad esempio vpxd o vpxd-extension in ogni caso.
1. Eseguire una copia del file /usr/lib/vmware-vmca/share/config/certool.cfg, quindi modificare o rimuovere i campi Nome, Indirizzo IP, Nome DNS e Indirizzo e-mail in base alle necessità e rinominare il file usando ad esempio sol_usr.cfg.
2. Generare un certificato per l'utente della soluzione della macchina in ogni nodo.
```
/usr/lib/vmware-vmca/bin/certool --gencert --cert=new-machine.crt --privkey=machine-key.priv --Name=machine --config sol_usr.cfg
```
3. Generare un certificato per l'utente della soluzione vpxd in ogni nodo.
```
/usr/lib/vmware-vmca/bin/certool --gencert --cert=new-vpxd.crt --privkey=vpxd-key.priv --Name=vpxd --config sol_usr.cfg
```
4. Generare un certificato per l'utente della soluzione vpxd-extensions in ogni nodo.
```
/usr/lib/vmware-vmca/bin/certool --gencert --cert=new-vpxd-extension.crt --privkey=vpxd-extension-key.priv --Name=vpxd-extension --config sol_usr.cfg
```
5. Generare un certificato per l'utente della soluzione vsphere-webclient in ogni nodo eseguendo il comando seguente.
```
/usr/lib/vmware-vmca/bin/certool --gencert --cert=new-vsphere-webclient.crt --privkey=vsphere-webclient-key.priv --Name=vsphere-webclient --config sol_usr.cfg
```
6. Generare un certificato per l'utente della soluzione wcp in ogni nodo eseguendo il comando seguente.
```
/usr/lib/vmware-vmca/bin/certool --gencert --cert=new-wcp.crt --privkey=wcp-key.priv --Name=wcp --config sol_usr.cfg
```

Sostituire i certificati utente della soluzione in VECS con i nuovi certificati utente della soluzione.

Nota: I parametri --store e --alias devono corrispondere esattamente ai nomi predefiniti per i servizi.

Sostituire il certificato utente della soluzione della macchina in ogni nodo:

/usr/lib/vmware-vmafd/bin/vecs-cli entry delete --store machine --alias machine
/usr/lib/vmware-vmafd/bin/vecs-cli entry create --store machine --alias machine --cert new-machine.crt --key machine-key.priv

Sostituire il certificato utente della soluzione vpxd in ogni nodo.

/usr/lib/vmware-vmafd/bin/vecs-cli entry delete --store vpxd --alias vpxd
/usr/lib/vmware-vmafd/bin/vecs-cli entry create --store vpxd --alias vpxd --cert new-vpxd.crt --key vpxd-key.priv

Sostituire il certificato utente della soluzione vpxd-extension in ogni nodo.

/usr/lib/vmware-vmafd/bin/vecs-cli entry delete --store vpxd-extension --alias vpxd-extension
/usr/lib/vmware-vmafd/bin/vecs-cli entry create --store vpxd-extension --alias vpxd-extension --cert new-vpxd-extension.crt --key vpxd-extension-key.priv

Sostituire il certificato utente della soluzione vsphere-webclient in ogni nodo.

/usr/lib/vmware-vmafd/bin/vecs-cli entry delete --store vsphere-webclient --alias vsphere-webclient
/usr/lib/vmware-vmafd/bin/vecs-cli entry create --store vsphere-webclient --alias vsphere-webclient --cert new-vsphere-webclient.crt --key vsphere-webclient-key.priv

Sostituire il certificato utente della soluzione wcp in ogni nodo.

/usr/lib/vmware-vmafd/bin/vecs-cli entry delete --store wcp --alias wcp
/usr/lib/vmware-vmafd/bin/vecs-cli entry create --store wcp --alias wcp --cert new-wcp.crt --key wcp-key.priv

Aggiornare VMware Directory Service (vmdir) con i nuovi certificati utente della soluzione. Viene richiesta una password amministratore di vCenter Single Sign-On.
1. Eseguire /usr/lib/vmware-vmafd/bin/dir-cli service list per ottenere il suffisso ID del servizio univoco per ogni utente della soluzione. Eseguire il comando in un sistema vCenter Server.
```
/usr/lib/vmware-vmafd/bin/dir-cli service list
output:
1. machine-623bef28-0311-436e-b21f-6e0d39aa5179
2. vsphere-webclient-623bef28-0311-436e-b21f-6e0d39aa5179
3. vpxd-623bef28-0311-436e-b21f-6e0d39aa5179
4. vpxd-extension-623bef28-0311-436e-b21f-6e0d39aa5179
5. hvc-623bef28-0311-436e-b21f-6e0d39aa5179
6. wcp-1cbe0a40-e4ce-4378-b5e7-9460e2b8200e
```
  Nota: Quando vengono elencati i certificati utente della soluzione nelle distribuzioni di grandi dimensioni, l'output di /usr/lib/vmware-vmafd/bin/dir-cli list include tutti gli utenti della soluzione di tutti i nodi. Eseguire /usr/lib/vmware-vmafd/bin/vmafd-cli get-machine-id --server-name localhost per trovare l'ID della macchina locale per ogni host. Ciascun nome utente della soluzione include l'ID della macchina.
2. Sostituire il certificato macchina in vmdir in ogni nodo di vCenter Server. Ad esempio, se l'utente della soluzione della macchina in vCenter Server è machine-6fd7f140-60a9-11e4-9e28-005056895a69, eseguire il comando seguente:
```
/usr/lib/vmware-vmafd/bin/dir-cli service update --name machine-6fd7f140-60a9-11e4-9e28-005056895a69 --cert new-machine.crt
```
3. Sostituire il certificato utente della soluzione vpxd in vmdir in ogni nodo. Ad esempio, se l'ID utente della soluzione vpxd è vpxd-6fd7f140-60a9-11e4-9e28-005056895a69, eseguire il comando seguente:
```
/usr/lib/vmware-vmafd/bin/dir-cli service update --name vpxd-6fd7f140-60a9-11e4-9e28-005056895a69 --cert new-vpxd.crt
```
4. Sostituire il certificato utente della soluzione vpxd-extension in vmdir in ogni nodo. Ad esempio, se l'ID utente della soluzione vpxd-extension è vpxd-extension-6fd7f140-60a9-11e4-9e28-005056895a69, eseguire il comando seguente:
```
/usr/lib/vmware-vmafd/bin/dir-cli service update --name vpxd-extension-6fd7f140-60a9-11e4-9e28-005056895a69 --cert new-vpxd-extension.crt
```
5. Sostituire il certificato utente della soluzione vsphere-webclient in ogni nodo. Ad esempio, se l'ID utente della soluzione vsphere-webclient è vsphere-webclient-6fd7f140-60a9-11e4-9e28-005056895a69, eseguire il comando seguente:
```
/usr/lib/vmware-vmafd/bin/dir-cli service update --name vsphere-webclient-6fd7f140-60a9-11e4-9e28-005056895a69 --cert new-vsphere-webclient.crt
```
6. Sostituire il certificato utente della soluzione wcp in ogni nodo. Ad esempio, se l'ID utente della soluzione wcp è wcp-1cbe0a40-e4ce-4378-b5e7-9460e2b8200e, eseguire il comando seguente:
```
/usr/lib/vmware-vmafd/bin/dir-cli service update --name wcp-1cbe0a40-e4ce-4378-b5e7-9460e2b8200e --cert new-wcp.crt
```