Certificate Lifecycle Management en vmware vsphere 6
12 February, 2015 by
Certificate Lifecycle Management en vmware vsphere 6
Avila, Martin

Una de las tareas administrativas más engorrosas de cualquier entorno que utilice un canal seguro para sus comunicaciones, es el control y la renovación de certificados digitales, dado que generalmente los procedimientos de actualización de los mismos no son claros y tampoco existen herramientas para centralizarlos. El problema se vuelve aún más complejo cuando la cantidad de certificados utilizados se incrementa.

En nuestro caso, como sabemos, la mayoría de las comunicaciones entre ESXi y vCenter Server usan SSL. Además, teniendo en cuenta que en vSphere 6.0 se incrementó el número de servicios y otros se están consolidando detrás de distintos Solutions Users (SU) como se muestra a continuación:

vSphere 5.x Services:

vsphere5

vSphere 6 Solution Users:

vsphere6

Surge la necesidad de centralizar la administración de los mismos. Por este motivo, y a fin de facilitar la administración del ciclo de vida y renovación de certificados, la versión 6 de vSphere incorpora una nueva característica: Certificate Lifecycle Management. En este post, vamos a dar un vistazo, a grandes rasgos, del funcionamiento de este módulo.

Certificate Lifecycle Management, provee de una interface de linea de comandos (CLI) que permite administrar tantos certificados autofirmados y certificados generados por terceras partes, tanto para vCenter Servers, Services y Host ESXI. De esta manera, desde VMCA se pueden administrar los certificados, tanto de los vCenter Servers, como de los servicios que de él dependen y los hosts ESXI conectados al mismo.

A continuación, las nuevas características:

  1. Introduce un PKI para centralizar la administración del ciclo de vida de los certificados.
  2. Introduce VMware Certificate Authority (VMCA) y VMware Endpoint Certificate Service (VECS).
  3. Expande el uso de nuestro Multi-Master Directory Service.
  4. Incrementa mejoras en seguridad – CA signing options y autenticación basado en certificados y SSL.
  5. Incremento de la capacidad de recuperación – HA, MMC Tools y replicación de datos.

El módulo, consta de los siguientes componentes:

VMCA (VMware Certificate Authority)

  • Genera certificados.
  • Genera CRLs (Certificate Revocation List).
  • UI View.
  • CLI para reemplazar.

VECS (Vmware Endpoint Certificate Services).

  • Almacena certificados y Keys.
  • Sincroniza certificados válidos.
  • Sincroniza CRLs.
  • UI View.
  • CLI para tomar acción.

VMDir

  • Multi master replicaton de usuarios, grupos, lookup services data, tags, etc.
  • MMC tool to view.

Existen diferentes escenarios donde se puede implementar esta característica, el objetivo en todos los casos es facilitar la administración de certificados tanto de los host ESXI como de los vCenter.

  1. VMCA Root CA
  • Creado en la instalación.
  • Es el escenario más simple.
  • Requiere de un paso adicional para que los navegadores confíen en VMCA.
  1. Subordinate VMCA
  • Después de la instalación.
  • VMCA es de confianza por los navegadores del escenario.
  • Se requiere un mayor grado de seguridad.
  • La política de seguridad debería ser manejada por el equipo PKI.
  • Nuevas soluciones van a heredar esta confianza.

El siguiente gráfico resume ambos casos implementados:

Capture

–          En el primer escenario, CMCA root CA, se utiliza el certificado auto-firmado generado por VMCA como Root CA. A partir de ese momento, cuando se agreguen hosts al servidor de vCenter, este va a reemplazar el certificado autofirmado que tienen los hosts por defecto, por el certificado firmado por VMCA.

–          En el segundo escenario, VMCA Subordinate CA, la diferencia es que en vez de utilizar el certificado autofirmado por VMCA, este debe ser reemplazado por el certificado de la Root CA.

Independientemente de los cambios a nivel de manejo de servicios en vSphere 6 y de la envergadura de cada escenario, la administración y sobre todo el control de la caducidad de los diferentes certificados, siempre representó un problema de difícil gestión, dado que no contábamos con una herramienta que centralice y permita estandarizar los procesos que implican las tareas de mantenimiento de certificados. Certificate Lifecycle Management es la herramienta que nos va a permitir mitigar esas necesidades.