Uitrol root certificaat VMWare 6

Inleiding

Certificaten spelen al vanaf de eerste versies van vCenter een belangrijke rol. Tot vSphere 6 was de CA geïntegreerd in vCenter. Vanaf vSphere 6 is er een Platform Services Controller (PSC) met verschillende functionaliteiten, waaronder de CA. De verschillende producten van de vRealize Suite, waaronder vCenter, maken gebruik van de functionaliteiten van de PSC. De PSC staat dus los van vCenter. vCenter maakt gebruik van de functionaliteiten van de PSC, net zoals andere producten van VMWare.

Er zijn verschillende manieren om een bestaande CA infrastructuur te integreren met de PSC om zo maximale veiligheid te bereiken. initieel heeft de PSC na uitrol een eigen CA die zelf certificaten genereert en uitdeelt aan onder andere de ESXi hosts. Omdat het root certificaat van deze CA niet bekend is op werkplekken die vCenter via een webbrowser benaderen, krijgt de gebruiker een melding over een niet geldig certificaat. Deze melding kan weggeklikt worden. Dit zal echter elke keer moeten gebeuren.

Voor dit probleem is een eenvoudige oplossing. Het is namelijk mogelijk om het root certificaat van de CA van de PSC via een group policy uit te rollen naar alle werkplekken die onderdeel uitmaken van de active directory. Dit maakt vCenter niet direct veiliger, maar de vervelende melding die steeds weggeklikt moet worden in de browser is weg. Een veiligere oplossing wordt bereikt door de CA van de PSC te integreren in de bestaande CA infrastructuur binnen een organisatie. Het is zelfs mogelijk de bestaande CA infrastructuur binnen een organisatie te gebruiken om alle certificaten uit te delen. In dat geval wordt de CA van de PSC niet meer gebruikt.

Deze blog gaat niet over de echt veilige manier om met certificaten om te gaan, maar beschrijft hoe het root certificaat van de CA van de PSC uitgerold kan worden via een group policy. Deze quick win is eenvoudig te implementeren, waarna later de veiligere manier geïmplementeerd kan worden. Dat is namelijk aanmerkelijk ingewikkelder.

Voorbereiding

Als eerste zal het root certificaat opgeslagen moeten worden. Het root certificaat is te krijgen via het adres https://<ip-adres of hostname vCenter server> in een browser. Rechtsonder kan nu het root certificaat gdownload worden.

Uitrol root certificaat - figuur 1 - download root CA
Er wordt een bestand met de naam DOWNLOAD.ZIP gedownload. In dit bestand zit de CRL en een of meer root certificaten. De rootcertificaten hebben de extensie .0. Hernoem deze bestanden door de extensie aan te passen naar .cer. Open nu elk .cer bestand door erop te dubbelklikken. Het certificaat wordt geopend. Hierna kan gekeken worden voor welke URL het certificaat geldig is. Identificeer het certificaat met de URL van vCenter. Dit certificaat kan via een group policy uitgerold worden naar alle werkplekken die onderdeel uitmaken van de active directory.

Uitvoering

Maak een nieuwe group policy aan met de naam Deploy VMWare Root Certificate of gebruik een bestaande group policy. Koppel de group policy aan de juiste OU waarin de werkplek objecten aanwezig zijn (of een hogerliggende OU). Edit de group policy en ga naar:

Computer Configuration -> Windows Settings -> Security Settings -> Public Key Policies -> Trusted Root Certification Authorities

Druk hier op de rechtermuistoets en kies voor Import … browse naar het certificaat dat tijdens de voorbereiding geïdentificeerd is en importeert dit door steeds op Next en op het einde op Finish te drukken. Hierna is het certificaat geïmporteerd. Herstart nu de werkplek of voer een GPUPDATE uit in een CMD box. Testen of de uitrol van het certificaat gelukt is, is eenvoudig. Ga in de browser naar vCenter. Als alles goed is gegaan, wordt er geen melding meer gegeven over een niet geldig certificaat.

28 april 2015
Ronald van Vugt