Başlangıç > VMware > 206: vRO 7.1 ve SSL tanımlamaları (VAMI)

206: vRO 7.1 ve SSL tanımlamaları (VAMI)

Bir önceki yazımda vRO servislerinin SSL sertifikalarını CA-signed sertifikalar ile değiştirmiştik. Şimdi ise, VMware tarafından hazırlanan appliance çözümlerde bulunan VAMI (Virtual Appliance Management Interface) servisinin SSL sertifika güncellemesinden bahsedeceğim.

vCenter Server Appliance 5.5 versiyonunda vpxd sertifikasını güncellediğimizde VAMI için özel bir aksiyon almamıza gerek kalmıyordu. Ancak son dönemde karşılaştığım bir çok appliance üründe bu eksiklik dikkatimi çekiyor, SSL sertifikaların güncellenmesi sonrası VAMI servisi için de güncelleme yapmamız gerekiyor.

Daha önceden VCSA 6.0 için uyguladığımız prosedürden biraz daha farklı olacak.  Daha önceki prosedürümüzde elimizde private key mevcut idi, dolayısı ile private ve public key’ler ile oluşturduğumuz PEM dosyası ile konfigürasyonumuzu tamamlamıştık. vRO senaryomuzda direk olarak elimizde private key olmadığından önce bunu elde etmemiz gerekmektedir. Yapacağımız işlemler sırası ile aşağıdaki gibi olacaktır.

  1. Private key’i elde etmek
  2. Private ve public key ile PEM dosyasını oluşturmak
  3. Lighttpd konfigürasyon dosyasını güncellemek

Private Key:

Aslında private key elimizde yok değil ancak keystore içerisinden bunu çekip çıkarmamız gerekiyor. Öncelikle keystore şifresine ihtiyaç duyacağız, keystore.password dosyasından bunu alabiliriz.

  • cat /var/lib/vco/keystore.password

JKS içerisinde bulunan private key’i, daha esnek ve okunabilir bir format olan PKCS12 formatına çevireceğiz. Hem hedef hem de kaynak keystore şifreleri için aynı şifreyi kullanabilirsiniz.

  • keytool -v -importkeystore -srckeystore jssecacerts -srcalias dunes -destkeystore vroCertRequest.p12 -deststoretype PKCS12

Yeni PKCS12 içerisinden private key bilgilerine erişeceğiz. Burada gördüğümüz veri bizim private key’imizin şifrelenmemiş halidir. Bu noktadan sonra private key’in sorumluluğu tamamen bize aittir !!!

  • openssl pkcs12 -in vroCertRequest.p12 -nocerts -keytool nodes

Yukarıda bahsettiğim veri ile ayrı bir dosya oluşturulur.

  • vi vroCertRequest.key
  • —–BEGIN PRIVATE KEY—– ve —–END PRIVATE KEY—– kısımlarını da kapsayacak şekilde kopyala-yapıştır yapılır.
  • Dosya kaydedilir (:wq!)

PEM dosyasını oluşturmak:

Artık elimizde hem public hem de private key olduğundan dolayı PEM dosyasını oluşturabiliriz.

  • cat vroCertRequest.key vroCertRequest.crt > vroCertRequest.pem

VAMI arka planda vami-lighttp isimli bir servis üzerinde çalışır. Oluşturduğumuz bu PEM dosyasını servisin diğer konfigürasyon dosyalarının bulunduğu klasöre kopyalarız.

  • cp /etc/vco/app-server/security/vroCertRequest.pem /opt/vmware/etc/lighttpd/

vro7

Konfigürasyon güncellemeleri:

SSL ile ilgili tanımlamalar lighttpd.conf dosyası içerisinde bulunmaktadır. vi ile dosyaya erişip, ssl.pemfile değişkenini güncellememiz yeterli olacaktır.

  • vi /opt/vmware/etc/lighttpd/lighttpd.conf
  • ssl.pemfile = “/opt/vmware/etc/lighttpd/vroCertRequest.pem”

Servis yeniden başlatılır.

  • service vami-lighttp restart

vro8

Benim vRO senaryomda gerekmedi ancak ara kademe sertifika otoritesi kullandığımız bir takım senaryolarda, konfigürasyon dosyasında bunu da belirtmemiz gerekebilir. Eğer bu senaryo ile karşılaşırsanız, aşağıdaki parametre ile bunu gerçekleştirebiliriz.

  • ssl.ca-file = “/opt/vmware/etc/lighttpd/CA.crt”

Eğer daha fazla tanımlamaya ihtiyaç duymamız durumunda, kullanılabilecek parametreler listesi aşağıdaki gibidir:

option description
ssl.engine enable/disable ssl engine
ssl.pemfile path to the PEM file for SSL support (Should contain both the private key and the certificate)
ssl.ca-file path to the CA file for support of chained certificates
ssl.dh-file path to the PEM file for Diffie-Hellman key agreement protocol (lighttpd >= 1.4.29 only)
ssl.ec-curve defines the set of elliptic-curve-cryptography domain parameters known as a “named curve” (lighttpd >= 1.4.29 only)
ssl.use-sslv2 enable/disable use of SSL version 2 (lighttpd < 1.4.21 only, newer version don’t support SSLv2)
ssl.use-sslv3 enable/disable use of SSL version 3 (lighttpd >= 1.4.29 only)
ssl.cipher-list Configure the allowed SSL ciphers
ssl.honor-cipher-order enable/disable honoring the order of ciphers set in ssl.cipher-list (set by default when ssl.cipher-list is set)
ssl.disable-client-renegotiation enable/disable mitigation of client triggered re-negotiation (see CVE-2009-3555). Important: This setting can only be set globally!
ssl.verifyclient.activate enable/disable client verification
ssl.verifyclient.enforce enable/disable enforcing client verification
ssl.verifyclient.depth certificate depth for client verification
ssl.verifyclient.exportcert enable/disable client certificate export to env:SSL_CLIENT_CERT
ssl.verifyclient.username client certificate entity to export as env:REMOTE_USER (eg. SSL_CLIENT_S_DN_emailAddress, SSL_CLIENT_S_DN_UID, etc.)
Kategoriler:VMware Etiketler:,
  1. Henüz yorum yapılmamış.
  1. No trackbacks yet.

Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Google+ fotoğrafı

Google+ hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

w

Connecting to %s

%d blogcu bunu beğendi: