Hoje vou detalhar o processo para utilizar certificados de uma CA Microsoft no vRealize Lifecycle Manager e assim configurar nos produtos gerenciados por ele. Alguns dos passos que vou mostrar aqui são realizadas pelo administrador da CA, mas de qualquer forma é importante entender como todo o processo funciona 🙂

Neste exemplo eu utilizei:

• Domínio Microsoft com ADCS configurado;
• Template SSL para VMware configurado na CA Microsoft (detalhes aqui);
• vRealize Lifecycle Manager configurado;
• Algum produto gerenciado pelo Lifecycle Manager: vRealize Automation, Identity Manager, Log Insight, Operations Manager, etc. É possível aplicar estes passos para atualizar o certificado do próprio Lifecycle Manager.

Let’s go! Faça login no Lifecycle Manager e clique em Locker, Certificates e selecione a opção Generate CSR. Complete os dados do certificado e clique em Generate. Lembre-se de adicionar todos os nomes e endereços IP associados com a solução (todos os nós, VIP, etc).

Abra o arquivo .pem que você acabou de baixar do Lifecycle Manager em um editor de texto (notepad++ ou similar). Copie o certificate request.

OPCIONAL: Se quiser testar se as informações estão corretas, basta abrir este site e colar o certificate request.

Faça login na sua CA Microsoft (http://sua-ca.local/certsrv) e inicie a requisição do certificado clicando em request a certificate e depois em advanced certificate request. Cole a requisição do certificado (esta informação está dentro do arquivo .pem que você baixou do Lifecycle Manager), selecione o template do certificado e clique em Submit. Importante: é necessário ter configurado o template SSL para VMware (detalhes aqui).

Selecione Base 64 encoded e clique em Download certificate chain.

Abra o arquivo que você acabou de baixar (certificado com a extensão .p7b). Navegue até a pasta Certificates e então você verá dois certificados: um deles é o root certificate (provavelmente estará com o nome da sua CA) e o outro é o certificado que você gerou (no nosso caso é para o vROps).

Agora é necessário exportar ambos certificados. Clique no certificado com o botão direito, all tasks e depois em export. Selecione Base-64 encoded X.509 (.CER) e salve em algum local no seu computador. Eu exportei como root-ca.cer e vrops-ca.cer.

Para finalizar precisamos criar um arquivo com a extensão .pem (criei um arquivo chamado cert_vrops_ca.pem) que vamos importar no Lifecycle Manager. Este arquivo irá conter, exatamente nesta ordem, a private key (primeiro arquivo .pem baixado do Lifecycle Manager), o certificado do vROps (exportado do certnew.p7b e chamado de vrops-ca.cer) e a root CA (exportado também do certnew.p7b e chamado de root-ca.cer). Tome cuidado para não deixar quebras de linhas e/ou espaços no conteúdo deste arquivo.

Se você seguiu todos os passos corretamente, o seu certificado deve estar pronto para ser importado no Lifecycle Manager. Agora clique em Locker, Certificates e selecione a opção Import. Digite um nome para identificar o seu certificado, selecione o arquivo que acabamos de criar (cert_vrops_ca.pem) e clique em Import.

Se estiver tudo certo você deve ver a mensagem Certificate successfully added.

Agora basta selecionar o produto que você deseja trocar o certificado no Lifecycle Manager e seguir com os passos. Aqui estou trocando o certificado do vROps.

Os três estágios concluíram com sucesso.

E por fim aí está o vROps com o certificado atualizado.

Repita os mesmos passos para todos os produtos que você deseja substituir o certificado. É isso aí pessoal, espero que ajude. Até a próxima.