Implementar y utilizar SSL Certificate Automation Tool 5.5
search cancel

Implementar y utilizar SSL Certificate Automation Tool 5.5

book

Article ID: 344547

calendar_today

Updated On:

Products

VMware Aria Suite VMware vCenter Server VMware vSphere ESXi

Issue/Introduction

Symptoms:
Renuncia: Este artículo es una traducción de Deploying and using the SSL Certificate Automation Tool 5.5 (2057340). Los artículos han sido traducidos en español basados en el mejor esfuerzo. Sin embargo, el contenido localizado o específico puede quedar desactualizado. Para revisar el contenido más reciente, por favor consulte el artículo en Inglés.

Acerca de SSL Certificate Automation Tool 5.5

SSL Certificate Automation Tool es una utilidad de la línea de comandos que automatiza el proceso de renovación de certificados autofirmados y firmados por CA. El objetivo principal de la herramienta incluye:
  • Generar solicitudes de firma de certificados (CSR) y actualizar certificados. También ayuda a implementar certificados y actualizar la confianza. Tenga en cuenta que esta herramienta no genera certificados personalizados por usted. Se espera que usted genere estos certificados sin conexión siguiendo las instrucciones de este documento.
  • Update Steps Planner: le permite planificar la secuencia de actualizaciones de certificados para los componentes. Esto evita errores en el proceso que, de lo contrario, podrían ocurrir.
Antes de SSL Certificate Automation Tool, todas las solicitudes de certificados y los certificados debían crearse en forma manual. A partir de la versión 1.0.1, la herramienta automatiza la creación de solicitudes de certificados. Sin embargo, no automatiza el envío de solicitudes de certificados a una CA. Con la incorporación de SSL Certificate Automation Tool 5.5, VMware introduce compatibilidad con componentes de vSphere 5.5.

Para ver las instrucciones para generar solicitudes de certificados y certificados compatibles con servicios de vCenter, consulte Generating certificates for use with the VMware SSL Certificate Automation Tool (2044696).

Nota: SSL Certificate Automation Tool no puede actualizar certificados caducados.

Plataformas compatibles

SSL Certificate Automation Tool está disponible solo para equipos que ejecutan sistemas operativos Windows. La herramienta se probó y comprobó en las siguientes versiones de Windows:
  • Windows 2008 R2 SP1
  • Windows 2012 Standard y Datacenter
  • Windows 2012 R2


Compatibilidad

SSL Certificate Automation Tool 5.5 solo funciona con el entorno de vSphere 5.5. Si necesita reemplazar los certificados en un entorno de vSphere 5.1, consulte Deploying and using the SSL Certificate Automation Tool (2041600).
  • SSL Certificate Automation Tool 1.0 es compatible con vSphere 5.1
  • SSL Certificate Automation Tool 1.0.1 es compatible con vSphere 5.1 Update 1 y posteriores, excepto vSphere 5.5
  • SSL Certificate Automation Tool 5.5 es compatible con vSphere 5.5


Requisitos previos

Para ejecutar SSL Automation Tool, debe cumplir los siguientes requisitos:
  • Privilegios administrativos en los servidores en los que se ejecuta la herramienta. Aunque los usuarios que no son administradores pueden descargar e iniciar la herramienta, todas las operaciones fallan si no se tienen los permisos adecuados.
  • Acceso a los servidores que tienen componentes de vSphere para los que se debe actualizar el certificado SSL.
  • Todos los componentes de vCenter Server para los cuales deben actualizarse los certificados están instalados y en ejecución.
  • Los nuevos certificados y las claves privadas ya existen y se conoce la ubicación de los nuevos certificados. Para mayor seguridad, genere los certificados y las claves privadas en el equipo en el que se van a utilizar.


Requisitos de certificado

Puede obtener los certificados firmados por CA antes de ejecutar la herramienta, o bien puede hacer que la herramienta genere las solicitudes de certificados por usted. Antes de ejecutar la herramienta para reemplazar certificados, asegúrese de que el nuevo certificado SSL para cada componente de vSphere tenga un nombre distintivo del sujeto único, codificado dentro del certificado.

Nota: No es obligatorio tener una OU única. La OU solo es parte del DN. Tener una OU única es una manera de lograr un DN único, pero definitivamente no es la única manera.

Los certificados y las claves privadas deben cumplir estos requisitos:
  • Algoritmo de clave privada: RSA
  • Longitud de clave privada: >= 2048
  • Estándar de clave privada: PKCS#1 o PKCS#8
  • Almacenamiento de clave privada: PEM

Los algoritmos de firma de certificados recomendados son:

  • sha256WithRSAEncryption 1.2.840.113549.1.1.11
  • sha384WithRSAEncryption 1.2.840.113549.1.1.12
  • sha512WithRSAEncryption 1.2.840.113549.1.1.13

    Nota: no se admite sha1.

El formato de cadena de certificados debe cumplir estos requisitos:

  • Un único archivo PEM que contenga una secuencia de certificados X.509 codificados PEM (base64), ordenados desde el certificado de hoja hasta el certificado de entidad autofirmado inclusive.
  • El archivo no debe contener comentarios, espacios ni tabulaciones antes, entre o después de los certificados.
  • Cada certificado comienza con -----BEGIN CERTIFICATE------ y finaliza con -----END CERTIFICATE------, cada uno en una nueva línea y sin espacios antes o después, respectivamente.
  • No hay ningún otro certificado en el archivo.
  • La cadena de certificados está completa. Es decir, o el archivo contiene todos los certificados que forman la cadena o la cadena de certificados está incompleta, pero se puede completar mediante certificados del almacén de confianza de Windows.

La ruta de acceso o el nombre de archivo de los certificados y las claves no contienen ninguno de estos caracteres especiales:

  • ^ (acento circunflejo)
  • % (porcentaje)
  • & (y comercial)
  • ; (punto y coma)
  • ) (paréntesis de cierre)

Nota: La herramienta se cierra o informa sobre un error si encuentra alguno de estos caracteres especiales.


Environment

VMware vSphere ESXi 5.5
VMware vCenter Orchestrator 5.5.x
VMware vSphere Update Manager 5.5.x
VMware vCenter Server 5.5.x

Resolution

Antes de comenzar

Antes de continuar, asegúrese de tener en cuenta los siguientes puntos:
  • Si ejecuta servicios de vCenter Server en una máquina virtual, tome una snapshot de la máquina virtual antes de comenzar el proceso para agilizar los tiempos de recuperación en caso de falla. También asegúrese de eliminar la snapshot una vez que el proceso finaliza correctamente.
  • La actualización de certificados de componentes de terceros, como equilibradores de carga, y en equipos con sistemas operativos que no son Windows se debe realizar en forma manual.
  • No se admite ninguna inserción de caracteres que contenga ^ (acento circunflejo).
  • Si la ruta de acceso o el nombre de archivo de la herramienta o de los certificados nuevos contienen alguno de los caracteres especiales, como ^ (acento circunflejo), % (porcentaje), & (y comercial), ; (punto y coma) o ) (paréntesis de cierre), la herramienta falla y se cierra, emite una excepción o informa que no se encontraron los archivos de certificado o clave.
  • Debe cerrar las soluciones dependientes que estén en ejecución en el entorno para evitar fallas en estos servicios. Las soluciones que deben cerrarse mientras se actualizan los certificados incluyen:
    • VMware Site Recovery Manager
    • vSphere Data Recovery
    • vCloud Director
    • Cualquier solución de terceros que se conecte a vCenter Server
Antes de realizar estos pasos, asegúrese de que:
  • Revisó la sección Problemas conocidos de este artículo.
  • Tiene un entorno de vSphere 5.5.
  • El entorno de vSphere 5.5 está preinstalado para todos los componentes para los que desea instalar certificados.
  • Revisó las extensiones de uso de clave para la plantilla de Web Server en el servidor de la entidad de certificación y tiene digitalSignature, keyEncipherment y dataEncipherment habilitados para la generación de certificados.
  • No está utilizando certificados con caracteres comodín. En vSphere 5.x, cada certificado debe ser único y, como consecuencia, no se admiten certificados con caracteres comodín.

Instalar o actualizar SSL Certificate Automation Tool

Debe instalar e implementar SSL Certificate Automation Tool en cada equipo en el que resida un componente de vSphere. Sin embargo, puede utilizar la herramienta en un solo equipo para realizar la planificación inicial.

Existen tres configuraciones posibles para instalar SSL Certificate Automation Tool:
  • Un solo equipo (todos los servicios en un equipo)

    Todos los servicios se encuentran en el mismo equipo. En este caso, se debe implementar SSL Certificate Automation Tool en un solo equipo.

  • Varios equipos (equipo por servicio)

    Cada servicio se encuentra en un equipo diferente. En este caso, se debe implementar SSL Certificate Automation Tool en cada equipo que ejecute uno de los siete servicios.

  • Modo mixto (varios servicios por equipo)

    Algunos servicios se ejecutan en un mismo equipo, mientras que otros se ejecutan en un equipo distinto. En este caso, se debe implementar SSL Certificate Automation Tool en todos los equipos que tienen servicios que se deben actualizar y los equipos en los que hay servicios implementados que se comunican con los que se deben actualizar. Utilice Update Steps Planner para determinar el orden exacto de los pasos de implementación.

Instalar SSL Certificate Automation Tool

Para instalar SSL Certificate Automation Tool:

Nota: Asegúrese de que la ruta de instalación de SSL Certificate Automation Tool no contenga ningún espacio.

  1. Descargue SSL Certificate Automation Tool desde VMware Download Center. Esta descarga se encuentra en la sección Drivers and Tools de las páginas de descarga de vSphere y vCloud Suite.
  2. Copie la herramienta en cada equipo en el que resida un componente de vSphere.
  3. Utilice una utilidad de descompresión para extraer el archivo en cualquier directorio, conservando la estructura de directorios.

Actualizar SSL Certificate Automation Tool

La actualización de SSL Certificate Automation Tool a una nueva versión es sencilla porque no se requiere ninguna instalación. Para actualizar SSL Certificate Automation Tool desde una versión anterior:

Nota: Asegúrese de que la ruta de instalación de SSL Certificate Automation Tool no contenga ningún espacio.

  1. Descargue SSL Certificate Automation Tool desde VMware Download Center. Esta descarga se encuentra en la sección Drivers and Tools de las páginas de descarga de vSphere y vCloud Suite.
  2. Copie la herramienta en cada equipo en el que resida un componente de vSphere.
  3. Utilice una utilidad de descompresión para extraer el archivo en un directorio distinto al que utilizaba la herramienta anteriormente, conservando la estructura de directorios.
Nota: VMware también recomienda eliminar la versión anterior de la herramienta para evitar confusiones. Para hacerlo, elimine la carpeta en la que reside la herramienta anterior.


Usar SSL Certificate Automation Tool

Una vez instalada la herramienta, puede usarla para actualizar certificados. Antes de comenzar, sin embargo, es posible predefinir valores predeterminados para automatizar parcialmente el proceso. Aunque no se requiere, esto puede ayudar a evitar errores en los siguientes pasos de configuración. Si no va a predefinir los valores predeterminados, vaya a la sección Running the Update Steps Planner.

Predefinir valores predeterminados

Predefinir los valores predeterminados en la herramienta le ayuda a evitar errores de escritura y le ahorra tiempo. Esto permite que la herramienta incluya automáticamente información específica que definió como predeterminada, en lugar de pedirle que la escriba. Por razones de seguridad, no se pueden guardar contraseñas al definir valores predeterminados.

Para predefinir valores predeterminados:

  1. Abra el archivo ssl-environment.bat en un editor de texto, como el Bloc de notas. De forma predeterminada, este archivo se encuentra en la raíz del directorio de la herramienta.
  2. Para cada componente relevante que desee actualizar, escriba los parámetros obligatorios y opcionales que desee cambiar. Por ejemplo, para vCenter Server puede editar los parámetros vc_cert_chain, vc_private_key y vc_username.

    Cuando incluye la información en el archivo ssl-environment.bat, SSL Certificate Automation Tool guarda esta información y la utiliza para rellenar previamente de forma automática la información necesaria durante actualizaciones de certificados, actualizaciones de confianza y operaciones de reversión.

  3. Una vez que escribió toda la información, guarde y cierre el archivo ssl-environment.bat en el directorio de la herramienta.

    Nota: Cuando se inicia la herramienta, los valores creados por el archivo ssl-environment.bat son de solo lectura. Si ejecuta el archivo ssl-environment.bat mientras SSL Certificate Automation Tool está en funcionamiento, no se leen los valores.

Ejecutar Update Steps Planner

Update Steps Planner es una opción que permite determinar el orden en el que debe proceder para actualizar correctamente la configuración de SSL. VMware recomienda que siga los pasos descritos en Update Steps Planner exactamente como se presentan para asegurarse de que la configuración se actualice correctamente.

Para ejecutar Update Steps Planner:

  1. Inicie sesión en cualquier equipo en el que esté instalada la herramienta SSL Certificate Automation Tool.
  2. Desde una línea de comandos, vaya a la ubicación en la que descomprimió la herramienta.
  3. Ejecute este comando:

    ssl-updater.bat

  4. En el menú principal, elija Plan your steps to update SSL certificates para determinar los pasos necesarios para actualizar los certificados SSL.
  5. Escriba los números que representan los servicios que se van a actualizar.

    Para actualizar más de un certificado SSL, separe los números con comas. Por ejemplo, para actualizar los certificados SSL en Single Sign-On, vCenter Server y vSphere Web Client, escriba:

    1,3,4

    Para actualizar el certificado en todos los servicios que admite la herramienta, escriba 8. Las selecciones del menú muestran todos los servicios admitidos.

    Nota: vSphere Web Client y Log Browser residen en el mismo equipo.

  6. Update Steps Planner muestra lo que necesita hacer y el orden en el que debe hacerlo. Realice las tareas en el orden en que la herramienta las presenta.

    Nota: Cuando utilice Update Steps Planner, escriba todos los servicios que desee actualizar. Si escribe los servicios por separado, la herramienta no podrá determinar correctamente el orden de los pasos. Si realiza los pasos en el orden incorrecto, puede ocasionar que el proceso falle. Para asegurarse de que tiene el orden correcto, deje la consola abierta en la lista completa de pasos o guarde la lista en un archivo de texto. Esto le permitirá seguir el progreso.

  7. Tras realizar una copia del resultado, escriba 9 para volver al menú principal.
Una vez completados estos pasos, continúe con la sección Updating SSL Certificates and trusts , a menos que necesite generar solicitudes de certificados previamente.


Generar solicitudes de certificados

SSL Certificate Automation Tool brinda la funcionalidad para crear solicitudes de certificados. Esta funcionalidad ayuda a evitar problemas de configuración comunes al generar certificados admitidos para su uso con servicios de vCenter Server.

Para ver las instrucciones para usar la nueva funcionalidad de solicitud de certificados y generar certificados compatibles con servicios de vCenter Server, consulte Generating certificates for use with the VMware SSL Certificate Automation Tool (2044696).


Nota: SSL Certificate Automation Tool brinda la funcionalidad para crear solicitudes de certificados y no crea el certificado final. Las solicitudes de certificados se deben proporcionar a una entidad de certificación (CA) para producir el certificado final firmado antes de continuar con el siguiente paso.

Actualizar confianzas y certificados SSL

Update Steps Planner muestra los pasos exactos que se deben seguir (según los servicios seleccionados) para asegurar la finalización correcta. Para simplificar el proceso, los servicios se enumeran individualmente en el menú principal con las opciones de actualización de confianzas y certificados para cada servicio específico.

Por ejemplo, para actualizar la configuración de Inventory Service, elija Inventory Service en el menú. Luego se le presentan las opciones Update the Inventory Service Trust to Single Sign-On y Update the Inventory Service SSL Certificate de este menú.

El flujo de trabajo es sencillo y debe ejecutar estos comandos uno después del otro.

Nota: La opción Ctrl+C para cancelar el comando actual no funciona mientras se ejecuta la herramienta.

Después de seleccionar una opción, escriba la información cuando se le pida, como las ubicaciones de la nueva cadena SSL, la clave privada y las contraseñas.

Nota
: Incluya la ruta completa del archivo chain.pem para que la actualización de certificados funcione correctamente. Por ejemplo: C:\VMware\SSO\Certs\chain.pem

Una vez completada, la operación continúa y se muestra un mensaje de operación correcta o de error con una explicación del problema que se detectó. Para obtener más información sobre cómo solucionar los fallos, consulte la sección Troubleshooting de este artículo.

Después de un paso correcto, continúe con el siguiente paso, de acuerdo a lo indicado en Update Steps Planner. Es posible que deba ir a un equipo distinto para continuar el proceso. Si esto es necesario, implemente e inicie la herramienta en el equipo que corresponda.

Nota: Mantenga la herramienta en ejecución en todos los equipos para ahorrar tiempo y evitar volver a escribir información, ya que es posible que Update Steps Planner requiera que vuelva a un equipo para realizar un paso más adelante.

Una vez completados todos los pasos de Update Steps Planner, habrá actualizado correctamente los certificados. Continúe con la sección Salir de Certificate Automation Tool.


Salir de SSL Certificate Automation Tool

Una vez completado el plan de actualización, puede seleccionar las opciones de menú adecuadas para cerrar la herramienta. Al cerrar la ventana del símbolo del sistema también se anula la sesión actual y las acciones incompletas o en proceso se pierden.

Nota: La opción Ctrl+C para cancelar el comando actual no funciona mientras se ejecuta la herramienta. Debe cerrar la ventana y volver a iniciar la herramienta o volver a escribir información no válida para forzar un fallo.

Solución de problemas

Si un comando de actualización específico falla, existen varias opciones que puede utilizar para solucionar el problema.

Reversión

SSL Certificate Automation Tool tiene una funcionalidad de reversión integrada. Durante la operación de actualización, cada acción que se lleva a cabo realiza una copia de seguridad del estado original en el que estaba la configuración del servicio. Si, por alguna razón, la actualización no es correcta, es posible que necesite revertir el paso fallido.

Para cada servicio, existe una opción para revertir la configuración. Ejecute este comando para restaurar el estado de la configuración que existía antes de comenzar el proceso de actualización. SSL Certificate Automation Tool guarda automáticamente una copia de la configuración de certificado existente en una carpeta de copia de seguridad, para asegurarse de que se pueda revertir al certificado utilizado anteriormente para mantener todo el sistema en funcionamiento.

Nota: Después de revertir el certificado de vCenter Server, debe volver a actualizar la confianza de vCenter Server a VMware Update Manager.

Log de SSL Certificate Automation Tool

Para determinar la causa del fallo, se registran las actualizaciones y acciones para cada comando. De forma predeterminada, los logs están disponibles en el directorio /log dentro del directorio en el que se descomprimió SSL Certificate Automation Tool. Si su política corporativa o su entorno lo requieren, puede cambiar la carpeta de registro antes de iniciar la herramienta. Establezca el directorio de registro predeterminado mediante la variable LOGS_FOLDER en el archivo ssl-environment.bat.

Para revisar el log:

  1. Abra el directorio SSL_Certificate_Automation_Tool_Directory/logs.
  2. Encuentre el log de la acción que desea comprobar. Por ejemplo, el archivo sso-update-ssl.log. Si hay varios logs para la misma acción, utilice la fecha y hora del archivo de registro para determinar cuál debe usar.
  3. Abra el archivo de registro con cualquier editor de texto y busque el error durante la ejecución.
Una vez que identificó el problema al buscar en el archivo de registro, corríjalo y ejecute el paso fallido nuevamente.

Para obtener más información, consulte la sección Problemas conocidos.


Problemas conocidos

Esta sección enumera los problemas conocidos al usar SSL Certificate Automation Tool. Asegúrese de revisar esta lista para determinar si su entorno podría estar afectado:
  • No se producen errores cuando reemplaza el certificado de un servicio por un certificado que otro servicio ya está utilizando.

    Si utiliza Certificate Automation Tool para reemplazar certificados y responde a las solicitudes reemplazando un certificado existente por uno que ya está en uso por otro servicio, la herramienta no muestra un mensaje de error. La herramienta continúa con el reemplazo. Debido a que cada servicio debe tener un certificado único en la instalación de vCenter Server en Windows, la autenticación no funciona correctamente.

    Actualmente, no existe una solución alternativa.

  • La actualización del certificado SSL falla si la contraseña de vCenter Single Sign-On contiene espacios o caracteres especiales, como &, ^, %, <.

    Si la contraseña de vCenter Single Sign-On tiene un espacio o algún carácter especial, como &, ^, %, <, la configuración de Inventory Service falla.

    Para solucionar este problema, cambie la contraseña de vCenter Single Sign-On para que no contenga espacios ni caracteres especiales, como &, ^, %, <.

  • Si el archivo de cadena de certificados de vCenter Single Sign-On está fuera de servicio, verá un error similar a:

    Certificate chain is incomplete: the root authority certificate is not present and could not be detected automatically. The presence of the root certificate is required so the other service can establish trust to this service. Try adding the authority certificate manually.

    Para solucionar este problema, asegúrese de que el archivo de cadena de certificados para vCenter Single Sign-On se cree en el orden correcto. Para obtener más información, consulte Generating certificates for use with the VMware SSL Certificate Automation Tool (2044696).

  • La operación de confianza de vCenter Server a vCenter Single Sign-On falla y hace que la herramienta se cierre abruptamente.

    Si hay espacios en la ruta de acceso utilizada para los certificados, la operación de actualización de confianza de vCenter Server a vCenter Single Sign-On falla y la herramienta se cierra abruptamente.

    Para solucionar el problema, elimine los espacios de la ruta de acceso a los certificados SSL.

  • La generación de CSR falla si el nombre de la carpeta de SSL Certificate Automation Tool contiene espacios.

    Asegúrese de que el nombre del directorio en el que se descomprime SSL Certificate Automation Tool y el directorio de CSR especificado anteriormente no contengan espacios. De lo contrario, la generación de CSR falla.

  • Si la ruta de acceso a las cadenas de certificados es incorrecta, ve el siguiente error:

    Exception in thread "main" java.io.FileNotFoundException: C:\certs\wrongfile\rui.crt (The system cannot find the file specified)
    at java.io.FileInputStream.open(Native Method)
    at java.io.FileInputStream.<init>(Unknown Source)


    Este comportamiento es esperado.

    Para solucionar el problema, corrija la ruta de acceso al archivo de cadena y vuelva a ejecutar el paso.

  • Al conectarse a VMware Inventory Service en configuraciones de modo vinculado, ve el siguiente error:

    Client Not authenticated

    Al actualizar todos los certificados mientras está en una configuración de modo vinculado, es posible que no pueda iniciar sesión en Inventory Service durante 10 minutos después de que los certificados se hayan actualizado. Una vez transcurrido este tiempo, la autenticación es correcta y la funcionalidad se restaura.

  • Es posible que SSL Certificate Automation Tool falle si se utilizan puertos personalizados para los componentes.

    Si se utilizan puertos personalizados para instalar servicios de vCenter Server, es posible que falle la configuración de certificados con SSL Certificate Automation Tool. Este es un problema conocido.

    Para solucionarlo, utilice los puertos predeterminados.


Additional Information

Puede descargar SSL Certificate Automation Tool desde VMware Download Center.