VMware NSX ALB / AVI Certificate Signing Request (CSR) mit Microsoft CA

Da ich mich in unserer ITQ Lab Umgebung mit VMware NSX Advanced Load Balancer (oder NSX ALB aka AVI Loadbalancer, sucht es euch aus!) im Zusammenhang mit vSphere with Tanzu auseinandersetzte, wollte ich diesen auch durch ein „offizielles“ Zertifikat vertrauenswürdig machen und das „Self Signed Certificate“ ersetzen.

In der Lab Umgebung existiert bereits eine Windows Certificate Authority (CA) und das CA Web Enrollment auf einer Windows 2019 VM. Auf die Installation der CA gehe ich nicht weiter ein, hier hatte ich mich an einen Artikel auf dem VirtuallyThere Blog gehalten.

Zusätzlich habe ich ein Certificate Template nach Vorgaben von VMware erstellt. Dieses möchte ich in Zukunft für alle VMware Produkt Deployments im Lab einsetzen. Dazu habe ich einen weiteren Blog Artikel geschrieben (Erstellen eines Microsoft CA Certificate Templates für vSphere 6.x/7.x), oder wer es direkt von VMware lesen mag, hier der KB Artikel: Creating a Microsoft Certificate Authority Template for SSL certificate creation in vSphere 6.x/7.x

Certificate Signing Request

Zunächst muss ein Certificate Signing Request auf dem AVI Controller erzeugt werden. Hierzu unter Templates >> Security >> SSL/TLS Certificates auf Create >> Controller Certificate gehen und ein neues Zertifikat vom Type „CSR“ erstellen.

Create a new Controller Certificate
Create a new Controller Certificate
New Certificate Type CSR

Beim Erstellen des Requests darauf achten, dass alle Zugriffs-Adressen in die Subject Alternate Names (SANs) aufgenommen werden. Bei meinem ersten Versuch hatte ich die Cluster IP vergessen und musste daraufhin für diese eine Adresse die Sicherheitsabfrage des Browsers bestätigen, die restlichen waren davon ausgenommen. Leider muss man dann den CSR Prozess noch mal neu durchlaufen.

Adding Subject Alternate Names (SAN)

Kurzer Hinweis:
Wie komme ich auf 4 Einträge bei den SANs?

  • einer Node IP
  • einem dazugehörigen DNS Eintrag
  • eine Cluster IP (for future use, sollte ich mal mehr als eine Node einsetzen wollen)
  • ein DNS Eintrag für die Cluster IP
Cluster IP Adressen

Nach dem Erstellen des CSR sieht das in AVI dann so aus:

Awaiting Certificate

Rechts auf den Stift klicken und den CSR in die Zwischenablage kopieren:

Copy CSR to Clipboard

Das Zertifikat erstellen

Weiter gehts im Web Interface der Windows CA (erreichbar über https://<deine-ca>/certsrv)

Hier über Request a certificate >> advanced certificate request durchhangeln und den zuvor kopierten CSR einfügen.

Zusätzlich verwende ich hier mein selbst erstelltes Certificate Template „VMware“.

Im Anschluss kann das Zertifikat im Base 64 Format heruntergeladen werden:

Download certificate in Base 64
The new certificate in Windows Explorer

Das Zertifikat in NSX ALB / AVI verwenden

Wieder zurück im AVI Webinterface die Zertifikates Datei importieren:

Import the new Certificate File

Et viola, der Status des Zertifikats ist Grün und es ist nicht Self Signed:

New certificate looks fine

NSX ALB / AVI umstellen auf das neue Zertifikat

Nun noch die System Access Settings (Administration >> Settings >> Access Settings) bearbeiten und das wars auch schon 🙂

Die beiden Default Zertifikate entfernen…

System Default Certificates out

…und das neue, eigene, durch die Windows CA begnadigte Zertifikat hinzufügen:

New CA signed Certificate in

Eine Überprüfung der vier Adressen im Webbrowser (IP und DNS) ist erfolgreich:

Successful verification with Browser

Kleiner Hinweis noch bzgl. Firefox:
Da wir in unserem Lab keine Group Policies verwenden, die Firefox beinhalten, ist noch eine Einstellung notwendig, damit dieser sich auf die Windows CA verlässt (copy/paste von der Mozilla Webseite):

  1. Enter “about:config” in the address bar and continue to the list of preferences.
  2. Set the preference „security.enterprise_roots.enabled“ to true.
  3. Restart Firefox.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.