Mengganti self-signed SSL certificate di ESXi ke 4096 bit SSL

Kadang-kadang perusahaan mempunyai kebijakan agar semua SSL certificate kita memiliiki kekuatan 4096 bit. Hal ini menjadi masalah karena secara default ESXi 4.x kekuatannya adalah 1024 dan ESXi 5.x 2048. Bagaimana mengatasinya?

Sebelum kita mulai perlu diketahui saya menerapkan prosedur ini di lingkungan vSphere tanpa HA dan komponen ekstra lainnya. Bila kamu mempunyai setup yang kompleks ada baiknya mengikuti prosedur yang resminya.

Sebuah hal yang menarik namun tidak banyak diketahui orang adalah VMware menyediakan script untuk mengenerate SSL certificate di host ESXi, yaitu di /sbin/generate-certificate.sh

Berikut ini adalah caranya:

Aktifkan Console atau SSH di host ESXi dan login.

Buat backup SSL asli:
~ # cd /etc/vmware/
/etc/vmware # cp -r ssl ssl-ori

Copy script asli ke /tmp:
/etc/vmware # cp /sbin/generate-certificates.sh /tmp

Edit script tersebut:
/etc/vmware # vi /tmp/generate-certificates.sh

Ubah angka 1024 atau 2048 ke 4096. Ada 2 tempat di dalam file itu:
[ req ]
default_bits = 4096
distinguished_name = req_distinguished_name

[ req ]
default_bits = 4096
default_keyfile = rui.key
distinguished_name = req_distinguished_name

Save dengan :x!

Copy kembali script itu ke /sbin:
/etc/vmware # cp /tmp/generate-certificates.sh /sbin

Jalankan script itu:
/etc/vmware # /sbin/generate-certificates.sh

Akan terlihat seperti ini:
Generating a 4096 bit RSA private key
...........................++
.........................................................++
writing new private key to '/etc/vmware/ssl/ca.key'
-----
Generating a 4096 bit RSA private key
...............................................................................................................................++
.............................................................................................................................................................................++
writing new private key to '/etc/vmware/ssl/rui.key'
-----
Signature ok
subject=/C=US/ST=California/L=Palo Alto/O=VMware, Inc/OU=VMware ESX Server Default Certificate/emailAddress=ssl-certificates@vmware.com/CN=vms3a.localdomain/unstructuredName=1405252036,564d7761726520496e632e
Getting CA Private Key

Restart services.sh:
/etc/vmware # /sbin/services.sh restart

Sebaiknya kamu reboot host tersebut sebab kalau tidak Console guest tidak akan bisa terlihat. Dan juga kamu harus mengkonek host itu ke vCenter kembali.

Bila kamu mempunyai Nessus scanner, kamu bisa menguji ESXi host kamu telah menggunakan 4096 bit SSL.

Semoga bermanfaat 🙂

Singapura, 13 Juli 2014

Fajar Priyanto

Referensi:

hostd fails to start with a Crypto Exception error (1021625)
VMware VUM 4.1 U1 SSL Certificate Replacement
vSphere 5.5 Install Pt. 19: ESXi SSL Certificate

Mars Outpost @Arinet.org

To dream and to write

Mengganti self-signed SSL certificate di ESXi ke 4096 bit SSL

Like this:

Share this:

Like this: