Новые сертификаты могут безопасно разрешать трафик проверки подлинности, который не шифруется должным образом.

February 25, 2019

По умолчанию хост-серверы VMware, такие как хосты ESXi, обычно создают новые сертификаты, когда гипервизор установлен на аппаратном обеспечении из необработанного металла. В процессе настройки хоста и выделения ресурсов, это является общим для конфигурации сервера, чтобы претерпеть много изменений настроек, как вы ожесточить устройство.

Подробнее о кибербезопасность

В число шагов по повышению безопасности, которые может выполнять ваша организация, присоединение к домену Active Directory (AD) помогает администраторам упростить управление базовым гипервизором, используемым для размещения виртуальных машин (VM), путем централизации управления учетными записями пользователей и группами, которым разрешен доступ к серверу, а также изменениями, которые они могут вносить.

Однако, в то время как процесс присоединения сервера к AD может быть простым, он может и, конечно, будет последовательно терпеть неудачу, если SSL-сертификаты, используемые узлом VMware, истекли, недействительны или иным образом повреждены. Все это создает трудности с получением сервера для проверки подлинности учетных записей домена, что не позволит пользователям поддерживать сервер до тех пор, пока он не будет разрешен. Но как вы можете это исправить, когда это случилось? Или еще хуже, если вы никогда не могли присоединиться к этому домену в первую очередь?

Хотя поддержание безопасных устройств и сетей имеет решающее значение для кибербезопасности организации, компании не должны сосредоточиваться только на защите от киберпреступности. Когда дело доходит до обеспечения безопасности организации, сотрудники ...White Papers производства Panda Security

Прежде чем мы войдем в процесс, есть несколько требований, которые мы должны придерживаться, просто чтобы убедиться, что все работает соответственно.

  • Железный сервер с установленной гипервизором VMware
  • ESXi Shell включена
  • Локальная учетная запись администратора/root для узла VMware
  • Компьютер Windows или Mac
  • SSH-клиент
  • Широкополосный интернет-провайдер (необязательно; но может потребоваться в зависимости от вашей установки)
  • Коммутируемая сеть (необязательно; но может потребоваться в зависимости от настроек)

Резервное копирование существующих сертификатов

Войдите в оболочку ESXi с помощью учетной записи локального администратора. Введите следующую команду, чтобы изменить рабочий каталог в том месте, где нам нужно работать:

cd / etc / vmware / ssl

Для создания резервных копий файлов CRT и KEY, связанных с сервером, введите следующие команды:

mv rui.crt rui.crt.bak mv rui.key rui.key.bak

Создание новых сертификатов

Войдите в оболочку ESXi с помощью учетной записи локального администратора. Для создания новых сертификатов введите следующую команду:

/ sbin / generate-certificates

Новые сертификаты будут перезаписывать предыдущие, но не резервные копии, созданные в предыдущем разделе с расширением BAK. Проверка новых сертификатов может быть произведена путем ввода следующей команды и сравнения отметок времени:

ls-la

Перезагрузите сервер хоста вручную или, введя следующую команду для завершения изменения конфигурации:

esxcli System shutdown reboot -- причина " причина перезагрузки"

Примечание: другой способ получить визуальное подтверждение-войти на хост ESXi через веб-клиент и перейти к вкладке Security & Users / Certificates. В разделе тема имя узла VMware должно совпадать с именем после "CN=".