Antes de comenzar
Antes de continuar, asegúrese de tener en cuenta los siguientes puntos:
- Si ejecuta servicios de vCenter Server en una máquina virtual, tome una snapshot de la máquina virtual antes de comenzar el proceso para agilizar los tiempos de recuperación en caso de falla. También asegúrese de eliminar la snapshot una vez que el proceso finaliza correctamente.
- La actualización de certificados de componentes de terceros, como equilibradores de carga, y en equipos con sistemas operativos que no son Windows se debe realizar en forma manual.
- No se admite ninguna inserción de caracteres que contenga ^ (acento circunflejo).
- Si la ruta de acceso o el nombre de archivo de la herramienta o de los certificados nuevos contienen alguno de los caracteres especiales, como ^ (acento circunflejo), % (porcentaje), & (y comercial), ; (punto y coma) o ) (paréntesis de cierre), la herramienta falla y se cierra, emite una excepción o informa que no se encontraron los archivos de certificado o clave.
- Debe cerrar las soluciones dependientes que estén en ejecución en el entorno para evitar fallas en estos servicios. Las soluciones que deben cerrarse mientras se actualizan los certificados incluyen:
- VMware Site Recovery Manager
- vSphere Data Recovery
- vCloud Director
- Cualquier solución de terceros que se conecte a vCenter Server
Antes de realizar estos pasos, asegúrese de que:
- Revisó la sección Problemas conocidos de este artículo.
- Tiene un entorno de vSphere 5.5.
- El entorno de vSphere 5.5 está preinstalado para todos los componentes para los que desea instalar certificados.
- Revisó las extensiones de uso de clave para la plantilla de
Web Server
en el servidor de la entidad de certificación y tiene digitalSignature
, keyEncipherment
y dataEncipherment
habilitados para la generación de certificados. - No está utilizando certificados con caracteres comodín. En vSphere 5.x, cada certificado debe ser único y, como consecuencia, no se admiten certificados con caracteres comodín.
Instalar o actualizar SSL Certificate Automation Tool
Debe instalar e implementar SSL Certificate Automation Tool en cada equipo en el que resida un componente de vSphere. Sin embargo, puede utilizar la herramienta en un solo equipo para realizar la planificación inicial.
Existen tres configuraciones posibles para instalar SSL Certificate Automation Tool:
- Un solo equipo (todos los servicios en un equipo)
Todos los servicios se encuentran en el mismo equipo. En este caso, se debe implementar SSL Certificate Automation Tool en un solo equipo.
- Varios equipos (equipo por servicio)
Cada servicio se encuentra en un equipo diferente. En este caso, se debe implementar SSL Certificate Automation Tool en cada equipo que ejecute uno de los siete servicios.
- Modo mixto (varios servicios por equipo)
Algunos servicios se ejecutan en un mismo equipo, mientras que otros se ejecutan en un equipo distinto. En este caso, se debe implementar SSL Certificate Automation Tool en todos los equipos que tienen servicios que se deben actualizar y los equipos en los que hay servicios implementados que se comunican con los que se deben actualizar. Utilice Update Steps Planner para determinar el orden exacto de los pasos de implementación.
Instalar SSL Certificate Automation ToolPara instalar SSL Certificate Automation Tool:
Nota: Asegúrese de que la ruta de instalación de SSL Certificate Automation Tool no contenga ningún espacio.
- Descargue SSL Certificate Automation Tool desde VMware Download Center. Esta descarga se encuentra en la sección Drivers and Tools de las páginas de descarga de vSphere y vCloud Suite.
- Copie la herramienta en cada equipo en el que resida un componente de vSphere.
- Utilice una utilidad de descompresión para extraer el archivo en cualquier directorio, conservando la estructura de directorios.
Actualizar SSL Certificate Automation ToolLa actualización de SSL Certificate Automation Tool a una nueva versión es sencilla porque no se requiere ninguna instalación. Para actualizar SSL Certificate Automation Tool desde una versión anterior:
Nota: Asegúrese de que la ruta de instalación de SSL Certificate Automation Tool no contenga ningún espacio.
- Descargue SSL Certificate Automation Tool desde VMware Download Center. Esta descarga se encuentra en la sección Drivers and Tools de las páginas de descarga de vSphere y vCloud Suite.
- Copie la herramienta en cada equipo en el que resida un componente de vSphere.
- Utilice una utilidad de descompresión para extraer el archivo en un directorio distinto al que utilizaba la herramienta anteriormente, conservando la estructura de directorios.
Nota: VMware también recomienda eliminar la versión anterior de la herramienta para evitar confusiones. Para hacerlo, elimine la carpeta en la que reside la herramienta anterior.
Usar SSL Certificate Automation Tool
Una vez instalada la herramienta, puede usarla para actualizar certificados. Antes de comenzar, sin embargo, es posible predefinir valores predeterminados para automatizar parcialmente el proceso. Aunque no se requiere, esto puede ayudar a evitar errores en los siguientes pasos de configuración. Si no va a predefinir los valores predeterminados, vaya a la sección Running the Update Steps Planner.
Predefinir valores predeterminados
Predefinir los valores predeterminados en la herramienta le ayuda a evitar errores de escritura y le ahorra tiempo. Esto permite que la herramienta incluya automáticamente información específica que definió como predeterminada, en lugar de pedirle que la escriba. Por razones de seguridad, no se pueden guardar contraseñas al definir valores predeterminados.
Para predefinir valores predeterminados:
- Abra el archivo
ssl-environment.bat
en un editor de texto, como el Bloc de notas. De forma predeterminada, este archivo se encuentra en la raíz del directorio de la herramienta. - Para cada componente relevante que desee actualizar, escriba los parámetros obligatorios y opcionales que desee cambiar. Por ejemplo, para vCenter Server puede editar los parámetros
vc_cert_chain
, vc_private_key
y vc_username
.
Cuando incluye la información en el archivo ssl-environment.bat
, SSL Certificate Automation Tool guarda esta información y la utiliza para rellenar previamente de forma automática la información necesaria durante actualizaciones de certificados, actualizaciones de confianza y operaciones de reversión.
- Una vez que escribió toda la información, guarde y cierre el archivo
ssl-environment.bat
en el directorio de la herramienta.
Nota: Cuando se inicia la herramienta, los valores creados por el archivo ssl-environment.bat
son de solo lectura. Si ejecuta el archivo ssl-environment.bat
mientras SSL Certificate Automation Tool está en funcionamiento, no se leen los valores.
Ejecutar Update Steps Planner
Update Steps Planner es una opción que permite determinar el orden en el que debe proceder para actualizar correctamente la configuración de SSL. VMware recomienda que siga los pasos descritos en Update Steps Planner exactamente como se presentan para asegurarse de que la configuración se actualice correctamente.
Para ejecutar Update Steps Planner:
- Inicie sesión en cualquier equipo en el que esté instalada la herramienta SSL Certificate Automation Tool.
- Desde una línea de comandos, vaya a la ubicación en la que descomprimió la herramienta.
- Ejecute este comando:
ssl-updater.bat
- En el menú principal, elija Plan your steps to update SSL certificates para determinar los pasos necesarios para actualizar los certificados SSL.
- Escriba los números que representan los servicios que se van a actualizar.
Para actualizar más de un certificado SSL, separe los números con comas. Por ejemplo, para actualizar los certificados SSL en Single Sign-On, vCenter Server y vSphere Web Client, escriba:
1,3,4
Para actualizar el certificado en todos los servicios que admite la herramienta, escriba 8
. Las selecciones del menú muestran todos los servicios admitidos.
Nota: vSphere Web Client y Log Browser residen en el mismo equipo.
- Update Steps Planner muestra lo que necesita hacer y el orden en el que debe hacerlo. Realice las tareas en el orden en que la herramienta las presenta.
Nota: Cuando utilice Update Steps Planner, escriba todos los servicios que desee actualizar. Si escribe los servicios por separado, la herramienta no podrá determinar correctamente el orden de los pasos. Si realiza los pasos en el orden incorrecto, puede ocasionar que el proceso falle. Para asegurarse de que tiene el orden correcto, deje la consola abierta en la lista completa de pasos o guarde la lista en un archivo de texto. Esto le permitirá seguir el progreso.
- Tras realizar una copia del resultado, escriba
9
para volver al menú principal.
Una vez completados estos pasos, continúe con la sección Updating SSL Certificates and trusts , a menos que necesite generar solicitudes de certificados previamente.
Generar solicitudes de certificados
SSL Certificate Automation Tool brinda la funcionalidad para crear solicitudes de certificados. Esta funcionalidad ayuda a evitar problemas de configuración comunes al generar certificados admitidos para su uso con servicios de vCenter Server.
Para ver las instrucciones para usar la nueva funcionalidad de solicitud de certificados y generar certificados compatibles con servicios de vCenter Server, consulte
Generating certificates for use with the VMware SSL Certificate Automation Tool (2044696).
Nota: SSL Certificate Automation Tool brinda la funcionalidad para crear solicitudes de certificados y no crea el certificado final. Las solicitudes de certificados se deben proporcionar a una entidad de certificación (CA) para producir el certificado final firmado antes de continuar con el siguiente paso.
Actualizar confianzas y certificados SSL
Update Steps Planner muestra los pasos exactos que se deben seguir (según los servicios seleccionados) para asegurar la finalización correcta. Para simplificar el proceso, los servicios se enumeran individualmente en el menú principal con las opciones de actualización de confianzas y certificados para cada servicio específico.
Por ejemplo, para actualizar la configuración de Inventory Service, elija Inventory Service en el menú. Luego se le presentan las opciones Update the Inventory Service Trust to Single Sign-On y Update the Inventory Service SSL Certificate de este menú.
El flujo de trabajo es sencillo y debe ejecutar estos comandos uno después del otro.
Nota: La opción Ctrl+C para cancelar el comando actual no funciona mientras se ejecuta la herramienta.
Después de seleccionar una opción, escriba la información cuando se le pida, como las ubicaciones de la nueva cadena SSL, la clave privada y las contraseñas.
Nota: Incluya la ruta completa del archivo chain.pem para que la actualización de certificados funcione correctamente. Por ejemplo: C:\VMware\SSO\Certs\chain.pem
Una vez completada, la operación continúa y se muestra un mensaje de operación correcta o de error con una explicación del problema que se detectó. Para obtener más información sobre cómo solucionar los fallos, consulte la sección Troubleshooting de este artículo.
Después de un paso correcto, continúe con el siguiente paso, de acuerdo a lo indicado en Update Steps Planner. Es posible que deba ir a un equipo distinto para continuar el proceso. Si esto es necesario, implemente e inicie la herramienta en el equipo que corresponda.
Nota: Mantenga la herramienta en ejecución en todos los equipos para ahorrar tiempo y evitar volver a escribir información, ya que es posible que Update Steps Planner requiera que vuelva a un equipo para realizar un paso más adelante.
Una vez completados todos los pasos de Update Steps Planner, habrá actualizado correctamente los certificados. Continúe con la sección Salir de Certificate Automation Tool.
Salir de SSL Certificate Automation Tool
Una vez completado el plan de actualización, puede seleccionar las opciones de menú adecuadas para cerrar la herramienta. Al cerrar la ventana del símbolo del sistema también se anula la sesión actual y las acciones incompletas o en proceso se pierden.
Nota: La opción Ctrl+C para cancelar el comando actual no funciona mientras se ejecuta la herramienta. Debe cerrar la ventana y volver a iniciar la herramienta o volver a escribir información no válida para forzar un fallo.
Solución de problemas
Si un comando de actualización específico falla, existen varias opciones que puede utilizar para solucionar el problema.
ReversiónSSL Certificate Automation Tool tiene una funcionalidad de reversión integrada. Durante la operación de actualización, cada acción que se lleva a cabo realiza una copia de seguridad del estado original en el que estaba la configuración del servicio. Si, por alguna razón, la actualización no es correcta, es posible que necesite revertir el paso fallido.
Para cada servicio, existe una opción para revertir la configuración. Ejecute este comando para restaurar el estado de la configuración que existía antes de comenzar el proceso de actualización. SSL Certificate Automation Tool guarda automáticamente una copia de la configuración de certificado existente en una carpeta de copia de seguridad, para asegurarse de que se pueda revertir al certificado utilizado anteriormente para mantener todo el sistema en funcionamiento.
Nota: Después de revertir el certificado de vCenter Server, debe volver a actualizar la confianza de vCenter Server a VMware Update Manager.
Log de SSL Certificate Automation ToolPara determinar la causa del fallo, se registran las actualizaciones y acciones para cada comando. De forma predeterminada, los logs están disponibles en el directorio
/log
dentro del directorio en el que se descomprimió SSL Certificate Automation Tool. Si su política corporativa o su entorno lo requieren, puede cambiar la carpeta de registro antes de iniciar la herramienta. Establezca el directorio de registro predeterminado mediante la variable
LOGS_FOLDER
en el archivo
ssl-environment.bat
.
Para revisar el log:
- Abra el directorio
SSL_Certificate_Automation_Tool_Directory/logs
. - Encuentre el log de la acción que desea comprobar. Por ejemplo, el archivo
sso-update-ssl.log
. Si hay varios logs para la misma acción, utilice la fecha y hora del archivo de registro para determinar cuál debe usar. - Abra el archivo de registro con cualquier editor de texto y busque el error durante la ejecución.
Una vez que identificó el problema al buscar en el archivo de registro, corríjalo y ejecute el paso fallido nuevamente.
Para obtener más información, consulte la sección Problemas conocidos.
Problemas conocidos
Esta sección enumera los problemas conocidos al usar SSL Certificate Automation Tool. Asegúrese de revisar esta lista para determinar si su entorno podría estar afectado:
- No se producen errores cuando reemplaza el certificado de un servicio por un certificado que otro servicio ya está utilizando.
Si utiliza Certificate Automation Tool para reemplazar certificados y responde a las solicitudes reemplazando un certificado existente por uno que ya está en uso por otro servicio, la herramienta no muestra un mensaje de error. La herramienta continúa con el reemplazo. Debido a que cada servicio debe tener un certificado único en la instalación de vCenter Server en Windows, la autenticación no funciona correctamente.
Actualmente, no existe una solución alternativa.
- La actualización del certificado SSL falla si la contraseña de vCenter Single Sign-On contiene espacios o caracteres especiales, como &, ^, %, <.
Si la contraseña de vCenter Single Sign-On tiene un espacio o algún carácter especial, como &, ^, %, <, la configuración de Inventory Service falla.
Para solucionar este problema, cambie la contraseña de vCenter Single Sign-On para que no contenga espacios ni caracteres especiales, como &, ^, %, <.
- Si el archivo de cadena de certificados de vCenter Single Sign-On está fuera de servicio, verá un error similar a:
Certificate chain is incomplete: the root authority certificate is not present and could not be detected automatically. The presence of the root certificate is required so the other service can establish trust to this service. Try adding the authority certificate manually.
Para solucionar este problema, asegúrese de que el archivo de cadena de certificados para vCenter Single Sign-On se cree en el orden correcto. Para obtener más información, consulte Generating certificates for use with the VMware SSL Certificate Automation Tool (2044696).
- La operación de confianza de vCenter Server a vCenter Single Sign-On falla y hace que la herramienta se cierre abruptamente.
Si hay espacios en la ruta de acceso utilizada para los certificados, la operación de actualización de confianza de vCenter Server a vCenter Single Sign-On falla y la herramienta se cierra abruptamente.
Para solucionar el problema, elimine los espacios de la ruta de acceso a los certificados SSL.
- La generación de CSR falla si el nombre de la carpeta de SSL Certificate Automation Tool contiene espacios.
Asegúrese de que el nombre del directorio en el que se descomprime SSL Certificate Automation Tool y el directorio de CSR especificado anteriormente no contengan espacios. De lo contrario, la generación de CSR falla.
- Si la ruta de acceso a las cadenas de certificados es incorrecta, ve el siguiente error:
Exception in thread "main" java.io.FileNotFoundException: C:\certs\wrongfile\rui.crt (The system cannot find the file specified)
at java.io.FileInputStream.open(Native Method)
at java.io.FileInputStream.<init>(Unknown Source)
Este comportamiento es esperado.
Para solucionar el problema, corrija la ruta de acceso al archivo de cadena y vuelva a ejecutar el paso.
- Al conectarse a VMware Inventory Service en configuraciones de modo vinculado, ve el siguiente error:
Client Not authenticated
Al actualizar todos los certificados mientras está en una configuración de modo vinculado, es posible que no pueda iniciar sesión en Inventory Service durante 10 minutos después de que los certificados se hayan actualizado. Una vez transcurrido este tiempo, la autenticación es correcta y la funcionalidad se restaura.
- Es posible que SSL Certificate Automation Tool falle si se utilizan puertos personalizados para los componentes.
Si se utilizan puertos personalizados para instalar servicios de vCenter Server, es posible que falle la configuración de certificados con SSL Certificate Automation Tool. Este es un problema conocido.
Para solucionarlo, utilice los puertos predeterminados.