воскресенье, 12 июля 2009 г.

Выдача сертификатов для инфраструктуры VMware (Часть III)

В завершающей части статьи я опишу, каким образом можно заменить самоподписанный сертификат, который по-умолчанию создается при установке VMware View Manager 3.1.

Действия по генерации сертификата через Web-интерфейс я намеренно пропущу, так как они детально рассмотрены во второй части.



Возможность замены самоподписанного сертификата для View Manager, на мой взгляд, является гораздо более востребованной, нежели для ESX и Virtual Center, так как предполагается, что с виртуальными рабочими станциями будут работать обычные сотрудники вашей организации, несведущие в вопросах информационной безопасности.

Главным стимулом для замены сертификата может стать нежелание администратора вручную настраивать доверие к самоподписанному сертификату View Manager'а на терминалах/компьютерах всех сотрудников.

Смена сертификата для VMware View Manager 3.1
Список и порядок действий при генерации и выдачи сертификата всегда один и тот же, и не зависит от того, устанавливаете ли вы сертификат на стандартный сервер (View Manager Connection Server), сервер-реплику (Replica Server) или сервер безопасности (Security Server).

Для генерации нового закрытого ключа из командной строки перейдите в папку с keytool.exe (C:\Program Files\VMware\VMware View\Server\jre\bin).

Выполните следующую команду для генерации сертификата:
keytool.exe -genkey -keyalg "RSA" -keystore C:\keys.p12 -storetype pkcs12 -validity 360
, где -keystore - указывает путь, где будет создано хранилище, содержащее сертификат с закрытым ключом (я указал корень системного диска для удобства, у вас он может отличаться);
-validity - срок действия сертификата в днях.

Запустится небольшой мастер, который задаст несколько вопросов:
Enter keystore password: - Пароль для защиты создаваемого хранилища сертификата, который потребуется на дальнейших этапах. Постарайтесь не забывать его, иначе придется начинать весь процесс сначала.
What is your first and last name? - Это имя, на которое будет назначен выданный сертификат, укажите DNS имя вашего сервера. Не пытайтесь ввести сюда ваше имя и фамилию.
What is the name of your organizational unit? – Название подразделения компании.
What is the name of your organization? – Название вашей компании.
What is the name of your City or Locality? – Информация о местоположении компании (например, название города).
What is the name of your State or Province? – Название штата или провинции, где расположена ваша компания.
What is the two-letter country code for this unit? – Код страны из двух букв (например, RU – для России).

Затем мастер попросит подтвердить введенную информацию, напечатайте yes и нажмите Enter.
Также мастер запросит еще один пароль для защиты закрытого ключа, нажмите Enter,
если хотите оставить такой же пароль, как и на хранилище.

Теперь сгенерируйте запрос к ЦС, выполнив команду:
keytool.exe -certreq -keyalg "RSA" -file C:\certificate.csr -keystore C:\keys.p12 -storetype pkcs12
Укажите пароль от хранилища, введенный ранее.
На основе созданного файла запроса (certificate.csr) выполните ту же процедуру генерации сертификата через Web-интерфейс, что и во второй части статьи. Не забудьте указать тип шаблона Web Server.
Сохраните полученный сертификат certnew.cer на диск, а затем откройте, щелкнув по нему правой кнопкой мыши и нажав Open. Перейдите на вкладку Details и нажмите на Copy to File.
Сохраните сертификат в формате Cryptographic Message Syntax Standard - PKCS #7 Certificates (.P7B), выбрав дополнительно Include all certificates in the certification path if possible. Сохраните файл под именем certificate.p7 (обратите внимание на расширение файла).

Из консоли выполните команду:
keytool -import -keystore C:\keys.p12 -storetype pkcs12 -keyalg "RSA" -trustcacerts -file C:\certificate.p7

Укажите пароль от хранилища, введенный ранее. Система выведет предупреждение, что сертификат ЦС не является доверенным. Введите yes и нажмите Enter.

Скопируйте два файла keys.p12 и certificate.p7 в папку C:\Program Files\VMware\VMware View\Server\sslgateway\conf\. Создайте или отредактируйте в этой же папке файл locked.properties следующим образом:
keyfile=keys.p12
keypass=<ваш_пароль>
Перезапустите службу View Manager:
net stop "VMware View Connection Server" && net stop "VMware View Connection Server"

С помощью браузера присоединитесь к серверу и убедитесь, что View Manager использует новый сертификат.

Заключение
Как видно из вышеприведенных примеров, процедура замены стандартных сертификатов для продуктов VMware достаточно проста и не требует каких-то специфических познаний. Использование собственного ЦС позволит вам не только полностью контролировать инфраструктуру открытых ключей, но и сэкономить на покупке сертификатов от коммерческих ЦС.

При подготовке статьи использовались следующие материалы:

  1. VMware View Manager Administration Guide
  2. keytool - Key and Certificate Management Tool

Комментариев нет:

Отправить комментарий