Başlangıç > VMware > 195: VAMI sertifika güncellemesi

195: VAMI sertifika güncellemesi

vSphere 6.0 ilk çıktığı zamanlarda beni en çok heyecanlandıran özelliklerinden biri VMCA (VMware Certification Authority) olmuştu ve bunun ile ilgili bir yazı yazmıştım, buradan erişebilirsiniz. Bunun sebebi hangi uygulamayı kullanırsanız kullanın, kullanılan sertifikaların güvenlik gereği kurumsal bir CA tarafından imzalanmış olan bir sertifika ile değişmesi gerekliliğine olan inancım ve vSphere 6.0 öncesinde maalesef bunun tam bir zulüm olması. PSC (Platform Services Controller) bünyesinde yer alan VMCA servisini eğer kurumsal CA yapınızda orta kademe CA olarak tanımlayabilir iseniz, hem sertifika üretimini otomatize etme şansını yakalayabilir hem de üretilen sertifikanın domain’inizde trusted olmasını sağlayabilirsiniz. Sonuç olarak aşağıdaki gibi bir sertifika zinciri oluşacaktır.

VMCA4

Bu yapının oluşturulmasını detaylandırmayacağım. VMware’ın bu konuda güzel yazılmış bir makalesi bulunuyor (KB2112016). Buraya kadar herşey çok güzel görünüyor. Ancak yakın zamanda, 6.0 Update2 ile tanımlamaları yaptığımda, VMware’ın bir noktayı atladığını farkettim. Bu noktayı açıklayabilmek için, mekanizmadan kısaca bahsetmemde fayda var.

vSphere 5.5’de sertifikalar ile uğraşmış olanlar hatırlar, tüm servisler için ayrı sertifika oluştururduk; vpxd, inventory service, log browser, auto deploy ve update manager.  vSphere 6.0 ile birlikte bir adet reverse HTTP proxy servisi geliştirildi (rhttpproxy) ve erişimlerde diğer servisler bu servisin arkasına alındı. Dolayısı ile sadece reverse proxy servisinin sertifikasının güncellenmesi, güvenli erişiminizi sağlayacaktır. Yine bu yüzdendir ki, artık webclient erişimi için 9443 portuna ihtiyacımız kalmadı, rhttpproxy servisine 443 ile bağlanıp, webclient’a erişebiliyoruz.

VMCA6

Şimdi eksik kalan noktaya gelelim. vSphere 6.0 ilk çıktığında, 5480 portu üzerinden hizmet veren VAMI (vCenter Server Appliance Management Interface) kaldırıldı. Sonra gelen geribildirimler doğrultusunda Update1 sürümü ile yeniden eklendi. Ancak diğer servisler gibi reverse proxy arkasına değil, eskiden alıştığımız şekilde 5480 portu üzerinden hizmet vermeye devam etti. Dolayısı ile bu servisin de manuel olarak sertifikasının güncellenmesi ihtiyacı doğdu.

Dikkat: Bu yazının yazıldığı gün itibari ile, konu ile ilgili yazılmış herhangi bir makale veya blog bulamadım, dolayısı ile yapılan aşağıdaki konfigürasyon VMware tarafında %100 desteklenir olmayabilir.

  • Reverse Proxy için oluşturmuş olduğunuz sertifikadan, VAMI hizmetini veren vami-lighttpd için de bir sertifika oluşturulur.

ORIG_CERT=”/etc/applmgmt/appliance/server.pem”
RHTTPPROXY_CERT=”/etc/vmware-rhttpproxy/ssl/rui.crt”
RHTTPPROXY_KEY=”/etc/vmware-rhttpproxy/ssl/rui.key”
cat $RHTTPPROXY_CERT $RHTTPPROXY_KEY > $ORIG_CERT

  • lighttpd konfigürasyon dosyasına aşağıdaki satır eklenir.

Dosya adı: /opt/vmware/etc/lighttpd/lighttpd.conf
Tanım: ssl.ca-file = “/etc/applmgmt/appliance/vmca.crt”

  • Elinizdeki vmca sertifikası yukarıdaki path’e kopyalanır, vmca.crt olarak.
  • VAMI servisi yeniden başlatılır.

service vami-lighttpd restart

Bu adımlardan sonra 5480 portu üzerinden gerçekleştirdiğiniz erişimleri de düzgün bir şekilde şifrelemiş olacaksınız.

vmca7

Kategoriler:VMware Etiketler:, ,
  1. Henüz yorum yapılmamış.
  1. 28.09.2016, 18:44

Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Google+ fotoğrafı

Google+ hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

w

Connecting to %s

%d blogcu bunu beğendi: