About Me
GeoCounter
martes, febrero 11, 2014
Como usar certificados exportados de IIS (Microsoft) en vCloud (VMWare)
10:52 a. m. | 
Publicadas por
K4dm3l |
Aqui tienen una guia basica de como utilizar un certificado exportado de IIS para poder ser usado en vCloud director.
El caso inicia cuando se creo un CSR (request) en un servidor IIS, se firmo con una CA (en este caso godaddy) y se completo el Signing request en este servidor Microsoft Windows (IIS), este es un certificado wilcard, que queremos usar en otro servidor pero esta vez no windows sino un servidor linux que en este caso utiliza llaveros JAVA tipo JCEKS, para ello exportamos el certificado desde el IIS donde normalmente nos pide una contraseña, colocaremos cl4v3s3cr3t4 y obtendremos un archivo completo.pfx
Este archivo contiene tanto la llave privada, como el root CA como el certificado wilcard ejemplo *.k4dm3l.com
Ahora bien, lo que necesitamos hacer es:
1. Convertir nuestro pfx en formato PEM
2. Obtener la llave privada
3. Recreamos los pfx para incluirlos en el llavro JCEKS de vcloud
4. Creamos el llavero JCEKS con los pfx exportados
5. Incluimos el root (godaddy) en el JCEKS recien creado
6. Reconfiguramos vcloud
7. Verificamos funcionalidad
Manos a la obra!!
1. Convertir nuestro pfx en formato PEM
user@cell0 $ openssl pkcs12 -in completo.pfx -out wilcard.cer -nodes
2. Obtener la llave privada
hacemos un "cat wilcard.cer", veremos una seccion que inicia con BEGIN PRIVATE KEY y termina con END PRIVATE KEY, copiamos toda esa seccion a un nuevo archivo guardamos y lo llamamos privada.key
3. Recreamos los pfx para incluirlos en el llavro JCEKS de vcloud
Aqui nos preguntará por la contraseña de la llave privada (fue la misma que usamos en el export del pfx desde IIS, para nuestro caso "cl4v3s3cr3t4".
De la misma manera, creamos un pfx para el consoleproxy:
user@cell0 $ openssl pkcs12 -export -in wilcard.cer -inkey privada.key -name consoleproxy -passout pass:ll4v3vcl0ud -out consoleproxy.pfx
4. Creamos el llavero JCEKS con los pfx exportados
Importamos el http
user@cell0 $ /usr/java/latest/bin/keytool -importkeystore -srckeystore http.pfx -srcstoretype PKCS12 -destkeystore certificates.ks -deststoretype JCEKS -deststorepass ll4v3r0vcl0ud -srcalias http -destalias http -srcstorepass ll4v3vcl0ud
Importamos luego el console proxy
user@cell0 $ /usr/java/latest/bin/keytool -importkeystore -srckeystore consoleproxy.pfx -srcstoretype PKCS12 -destkeystore certificates.ks – deststoretype JCEKS -deststorepass ll4v3r0vcl0ud -srcalias consoleproxy -destalias consoleproxy -srcstorepass ll4v3vcl0ud
5. Incluimos el root (godaddy) en el JCEKS recien creado
user@cell0 $ /usr/java/latest/bin/keytool -importcert -alias root -file RootCA.crt -storetype JCEKS -keystore certificates.ks -storepass ll4v3r0vcl0ud
A este momento debemos ya tener 3 entradas en el llavero, para verificarlas usamos el siguiente comando:
user@cell0 $/usr/java/latest/bin/keytool -list -keystore certificates.ks -storetype JCEKS -storepass ll4v3r0vcl0ud
6. Reconfiguramos vcloud
detenemos el servicio "vmware-vcd" asi:
root@cell0 # service vmware-vcd stop
Luego, copiamos el archivo del llavero que generamos "certificates.ks" en la ruta donde por omisión vCloud almacena los certificados "/opt/vmware/vcloud-director/certs/certificates.ks"
Reconfiguramos vCloud ejecutando el comando siguiente:
root@cell0 # /opt/vmware/vcloud-director/bin/configure
Alli nos pide la ruta donde se encuentra el llavero: /opt/vmware/vcloud-director/certs/certificates.ks
Nos pide la contraseña del llavero : ll4v3r0vcl0ud
Aqui debemos fijarnos que no nos salga un error "cryptographic error", porque esto quiere decir que o bien el llavero no está bien formado o bien la contraseña es erronea.
Al finalizar la comprobacion, nos pide iniciar el servicio, respondemos "y" y verificamos por la URL de acceso al vcloud, en el ejemplo seria algo como: vcloud.k4dm3l.com
Listo!!!
Ya podemos usar nuestro wilcard en cualquier servidor vcloud o parecido =)
Suscribirse a:
Comentarios de la entrada (Atom)
0 comentarios: