¿Cómo instalar un certificado en VMware View?

Hola de nuevo, soy Miguel Ángel Alonso y aquí estoy como cada martes para contaros algo nuevo sobre el maravilloso mundo de la virtualización.

Hoy nos centraremos en como instalar un certificado en nuestro entorno VMware View para poder utilizarlo en nuestras conexiones WAN, y así de esta manera poder cifrar nuestros datos de conexión.

Lo primero de todo, tendrás que ir a las propiedades del equipo de tu servidor Broker en «Configuración avanzada del Sistema» – «Opciones Avanzadas» – «Variables del entorno», para seleccionar el campo llamado “Path” y añadir el siguiente path:

C:\Program Files\VMware\VMware View\server\jre\bin

El segundo paso a seguir en tu servidor Broker o connection server, es abrir una sesión desde la línea de comandos con “cmd” y asegurarte que estas en el irectorio raíz “C:”. Después, escribe la siguiente línea de comandos:

Keytool –genkey –keyalg “RSA” –keystore keys.p12 –storetype pkcs12 –validity 360

Esta linea de comando, generará una clave privada llamada keys.p12 en algoritmo RSA usando el formato PKCS12 y válida por un año: Tendrás que rellenar los datos de formulario que te pide, como por ejemplo, nombre FQDN de tu organización, Ciudad, País y etcétera.

En el siguiente paso, crearas un archivo de requerimiento de certificado, el famoso CSR, para ser enviado a la CA correspondiente, tanto sea de tu entorno Microsoft si es que dispones de ella como si es un CA correspondiente a una de las autorizadas en Internet y conocidas, como por ejemplo, THAWTE, GLOBALSIGN o VERISIGN.

El comando para generar el archivo CSR es el siguiente:

Keytool –certreq –keyalg “RSA” –file micertificado.csr -keystore keys.p12 -storetype pkcs12 -storepass p@sswOrd

Donde micertificado.csr será el nombre de tu ”csr” y p@sswOrd, será la contraseña que utilices para tu certificado.

Una vez hecho todo esto, nos generará el archivo .csr el cual como he indicado antes deberás enviar a la entidad de certificados CA que hayamos elegido.

En mi caso será una CA interna de Microsoft Windows 2008 y la cual dispongo dentro de mi entorno de laboratorio. Nos conectamos mediante http://servidorCA/certsrv

Entonces, eliges la opción de enviar una solicitud de certificado con un archivo codificado en base64 CMC o PKCS#10, o una solicitud de renovación con un archivo codificado en base64 PKCS#7, donde en “plantilla de certificado” pondrás “Servidor Web” y «pegaras» el archivo csr que he generado anteriormente en formato texto.

Luego, descarga los archivos por defecto Certnew.crt y Certnew.p7b (obligatorio en formato pkcs#7) a tu direcrorio raíz C:

Vuelve a la línea de comando para importar tu root CA y teclea el siguiente comando:

Keytool –import –trustcacerts -keystore “C:\Program Files\VMware\VMware View\jre\lib\security\cacerts” -storepass changeit –alias Root -import -file c:\Certnew.crt

Después, importa tu archivo Certnew.p7b (formato pkcs#7) mediante la siguiente línea de comando:

Keytool -import -keystore keys.p12 -storetype pkcs12 -storepass p@asswOrd -keyalg “RSA” -trustcacerts -file Certnew.p7b

Te preguntará si confías en este certificado: por supuesto le dices que sí.

Como últimos pasos, lo que harás será ir a tu Security Server y en el directorio: C:\Program Files\VMware\ViewManager\Server\sslgateway\conf modificas, o creas sino dispones de este, un archivo llamado Locked.properties. Ánade las dos lineas siguieres:

Keyfile=keys.p12
Keypass=p@sswOrd

Seguidamente, y en ese mismo directorio, importa la clave keys.p12 que generaste en tu servidor Broker anteriormente, y reinicia el sevicio View Security Service con los siguientes comandos:

Net stop VMware View Security Server
Net start VMware View Security Server

Como nota final, recuerda que el archivo locked.properties y la importación de la clave privada keys.p12 deberías hacerlo en todos tus Security Server.

Bueno, hasta aquí por hoy. Espero haberos contado algo de vuestro agrado y me despido de vosotros hasta la semana que viene. Os emplazo hasta el próximo martes con un nuevo tema sobre la virtualización.