Instalasi Custom SSL Certificate pada vCenter Server 6.7

Pada tulisan sebelumnya, saya membahas mengenai instalasi dan aktivasi SSL certificate pada vSphere host 6.7. Prosesnya relatif mudah dan cepat. Hal yang sama saya coba terapkan pada vCenter 6.7 namun gagal.

Setelah melakukan proses trial & error beberapa kali, kemungkinan besar masalahnya karena vCenter tidak mau menggunakan SSL wildcard. Saat mencobanya menggunakan SSL Certificate single domain (single name), prosesnya berjalan lancar.

Berikut adalah cara melakukan instalasi dan aktivasi SSL certificate pada vCenter Server 6.7 :

PERSIAPAN

1. Siapkan file root certificate sesuai SSL certificat yang dibeli. Biasanya pihak provider akan memberikan informasi lokasi file root certificate yang bisa didownload, misalnya untuk SSL Comodo ada pada link ini.
2. Siapkan file .key dan file .crt sertifikat SSL yang hendak diaktivasikan. Pastikan subject alternative name (SAN) menggunakan nama host vCenter. Misalnya dalam hal ini akan menggunakan nama host vc67.excellent.co.id
3. Jika file .key dan file .crt belum ada, lakukan pembelian SSL Certificate. Excellent menyediakan layanan SSL Certificate berbagai tipe (Single, Multi Domain UCC maupun Wildcard) dan dari berbagai merk (Comodo, GeoTrust, Symantec, Digicert dan lain-lain). Silakan merujuk pada halaman https://www.excellent.co.id/ssl/ untuk keterangan lebih detail. Berbeda dengan provider lain yang kadang hanya menyediakan SSL Certificate tanpa layanan support, Excellent menyediakan support untuk proses generate Certificate Signing Request (CSR), implementasi SSL maupun Revoke/Replacement SSL.
4. Saat melakukan pembelian SSL certificate, pihak penjual (misalnya Excellent) akan meminta kiriman file CSR (Certificate Signing Request). Untuk melakukan generate file CSR dari vCenter, koneksi SSH ke vCenter, jalankan aplikasi bash shell (dengan mengetikkan perintah shell kemudian jalankan perintah : /usr/lib/vmware-vmca/bin/certificate-manager dan ikuti panduan wizard yang diberikan. Karena hendak melakukan generate CSR, pilih pilihan nomor 1 Replace Machine SSL certificate with Custom Certificate kemudian pilihan menu Generate Certificate Signing Request(s) and Key(s) for Machine SSL certificate. Pastikan memasukkan nama host yang benar pada saat ditanyakan mengenai subject alternative name atau name.

Setelah proses generate dilakukan, lokasi file CSR akan diinformasikan pada bagian akhir hasil perintah, misalnya dalam contoh ini posisi file CSR ada pada /srv/vmca_issued_csr.csr. Biasanya saat generate file CSR otomatis akan melakukan generate file .key juga.

Ambil file CSR menggunakan aplikasi scp atau winscp dan kirim ke pihak penjual SSL. File .key jangan dikirimkan, nanti akan digunakan sebagai kunci pembuka file .crt saat diimplementasikan.

Pihak penjual SSL akan mengirimkan file crt. Jika file-nya terpisah antara SSL certificate dan certificate chain, gabungkan keduanya menjadi satu file .crt baru dengan posisi certificate chain dibagian bawah.

Berarti sudah ada 3 buah file, yaitu file root SSL certificate, file SSL certificate hasil penggabungan dan file .key hasil dari generate CSR.

AKTIVASI SSL CERTIFICATE PADA VCENTER SERVER 

Untuk melakukan aktivasi SSL certificate, lakukan prosedur sebagai berikut :

• Login ke vCenter
• Masuk ke menu Administration | Certificates | Certificate Management
• Login menggunakan user credentials vCenter

• Pada bagian Trusted Root Certificates, klik Add dan ambil file root SSL certificate yang sudah disiapkan
• Pada bagian Machine Certificate, pilih menu Action | Replace
• Masukkan file SSL certificate gabungan dengan chain certificate dan file .key yang sudah disiapkan

• vCenter akan otomatis mendeteksi SSL Certificate yang dimasukkan dan menampilkan pesan sukses jika sudah berhasil diaktivasikan

Selain machine certificate, ada juga solution certificate yang prosedur implementasinya mirip dengan yang dilakukan diatas. Karena kebutuhannya hanya untuk akses vCenter via web HTML 5, implementasi machine SSL certificate sudah mencukupi.

Setelah SSL certificate berhasil diinstalasikan, lakukan proses restart vCenter. Masuk ke vCenter admin (https://vc67.excellent.co.id:5480) kemudian pilih menu Actions | Reboot | Reboot the system? | Yes.

Setelah vCenter aktif kembali, check apakah SSL certificate sudah berhasil terpasang atau tidak. Saat diakses via browser, mestinya sudah tidak muncul pesan untrusted certificate. Jika SSL certificate berhasil terpasang dan valid namun statusnya masih untrusted, kemungkinan masih ada cache/cookies disisi browser yang perlu diclear.