Kadang-kadang perusahaan mempunyai kebijakan agar semua SSL certificate kita memiliiki kekuatan 4096 bit. Hal ini menjadi masalah karena secara default ESXi 4.x kekuatannya adalah 1024 dan ESXi 5.x 2048. Bagaimana mengatasinya?
Sebelum kita mulai perlu diketahui saya menerapkan prosedur ini di lingkungan vSphere tanpa HA dan komponen ekstra lainnya. Bila kamu mempunyai setup yang kompleks ada baiknya mengikuti prosedur yang resminya.
Sebuah hal yang menarik namun tidak banyak diketahui orang adalah VMware menyediakan script untuk mengenerate SSL certificate di host ESXi, yaitu di /sbin/generate-certificate.sh
Berikut ini adalah caranya:
Aktifkan Console atau SSH di host ESXi dan login.
Buat backup SSL asli:
~ # cd /etc/vmware/
/etc/vmware # cp -r ssl ssl-ori
Copy script asli ke /tmp:
/etc/vmware # cp /sbin/generate-certificates.sh /tmp
Edit script tersebut:
/etc/vmware # vi /tmp/generate-certificates.sh
Ubah angka 1024 atau 2048 ke 4096. Ada 2 tempat di dalam file itu:
[ req ]
default_bits = 4096
distinguished_name = req_distinguished_name
[ req ]
default_bits = 4096
default_keyfile = rui.key
distinguished_name = req_distinguished_name
Save dengan :x!
Copy kembali script itu ke /sbin:
/etc/vmware # cp /tmp/generate-certificates.sh /sbin
Jalankan script itu:
/etc/vmware # /sbin/generate-certificates.sh
Akan terlihat seperti ini:
Generating a 4096 bit RSA private key
...........................++
.........................................................++
writing new private key to '/etc/vmware/ssl/ca.key'
-----
Generating a 4096 bit RSA private key
...............................................................................................................................++
.............................................................................................................................................................................++
writing new private key to '/etc/vmware/ssl/rui.key'
-----
Signature ok
subject=/C=US/ST=California/L=Palo Alto/O=VMware, Inc/OU=VMware ESX Server Default Certificate/emailAddress=ssl-certificates@vmware.com/CN=vms3a.localdomain/unstructuredName=1405252036,564d7761726520496e632e
Getting CA Private Key
Restart services.sh:
/etc/vmware # /sbin/services.sh restart
Sebaiknya kamu reboot host tersebut sebab kalau tidak Console guest tidak akan bisa terlihat. Dan juga kamu harus mengkonek host itu ke vCenter kembali.
Bila kamu mempunyai Nessus scanner, kamu bisa menguji ESXi host kamu telah menggunakan 4096 bit SSL.
Semoga bermanfaat 🙂
Singapura, 13 Juli 2014
Fajar Priyanto
Referensi:
hostd fails to start with a Crypto Exception error (1021625)
VMware VUM 4.1 U1 SSL Certificate Replacement
vSphere 5.5 Install Pt. 19: ESXi SSL Certificate