Mengganti self-signed SSL certificate di ESXi ke 4096 bit SSL

vsphere-logoKadang-kadang perusahaan mempunyai kebijakan agar semua SSL certificate kita memiliiki kekuatan 4096 bit. Hal ini menjadi masalah karena secara default ESXi 4.x kekuatannya adalah 1024 dan ESXi 5.x 2048. Bagaimana mengatasinya?

Sebelum kita mulai perlu diketahui saya menerapkan prosedur ini di lingkungan vSphere tanpa HA dan komponen ekstra lainnya. Bila kamu mempunyai setup yang kompleks ada baiknya mengikuti prosedur yang resminya.

Sebuah hal yang menarik namun tidak banyak diketahui orang adalah VMware menyediakan script untuk mengenerate SSL certificate di host ESXi, yaitu di /sbin/generate-certificate.sh

Berikut ini adalah caranya:

Aktifkan Console atau SSH di host ESXi dan login.
 
Buat backup SSL asli:
~ # cd /etc/vmware/
/etc/vmware # cp -r ssl ssl-ori
 
Copy script asli ke /tmp:
/etc/vmware # cp /sbin/generate-certificates.sh /tmp
 
Edit script tersebut:
/etc/vmware # vi /tmp/generate-certificates.sh
 
Ubah angka 1024 atau 2048 ke 4096. Ada 2 tempat di dalam file itu:
[ req ]
default_bits = 4096
distinguished_name = req_distinguished_name
 
[ req ]
default_bits = 4096
default_keyfile = rui.key
distinguished_name = req_distinguished_name
 
Save dengan :x!
 
Copy kembali script itu ke /sbin:
/etc/vmware # cp /tmp/generate-certificates.sh /sbin
 
Jalankan script itu:
/etc/vmware # /sbin/generate-certificates.sh
 
Akan terlihat seperti ini:
Generating a 4096 bit RSA private key
...........................++
.........................................................++
writing new private key to '/etc/vmware/ssl/ca.key'
-----
Generating a 4096 bit RSA private key
...............................................................................................................................++
.............................................................................................................................................................................++
writing new private key to '/etc/vmware/ssl/rui.key'
-----
Signature ok
subject=/C=US/ST=California/L=Palo Alto/O=VMware, Inc/OU=VMware ESX Server Default Certificate/emailAddress=ssl-certificates@vmware.com/CN=vms3a.localdomain/unstructuredName=1405252036,564d7761726520496e632e
Getting CA Private Key
 
Restart services.sh:
/etc/vmware # /sbin/services.sh restart

Sebaiknya kamu reboot host tersebut sebab kalau tidak Console guest tidak akan bisa terlihat. Dan juga kamu harus mengkonek host itu ke vCenter kembali.

Bila kamu mempunyai Nessus scanner, kamu bisa menguji ESXi host kamu telah menggunakan 4096 bit SSL.

Semoga bermanfaat :)

Singapura, 13 Juli 2014

Fajar Priyanto

Referensi:

hostd fails to start with a Crypto Exception error (1021625)
VMware VUM 4.1 U1 SSL Certificate Replacement
vSphere 5.5 Install Pt. 19: ESXi SSL Certificate
 

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>