{"id":551,"date":"2024-12-20T16:41:11","date_gmt":"2024-12-20T19:41:11","guid":{"rendered":"http:\/\/vbrain.com.br\/?p=551"},"modified":"2025-01-03T10:41:28","modified_gmt":"2025-01-03T13:41:28","slug":"substituindo-certificados-auto-assinados-expirados-no-nsx-t","status":"publish","type":"post","link":"http:\/\/vbrain.com.br\/index.php\/2024\/12\/20\/substituindo-certificados-auto-assinados-expirados-no-nsx-t\/","title":{"rendered":"Substituindo certificados autoassinados expirados no NSX-T"},"content":{"rendered":"

Ol\u00e1 pessoal, j\u00e1 fazia algum tempo que n\u00e3o escrevia nada, o objetivo aqui \u00e9 escrever um “step-by-step” de como realizar a troca do certificado autoassinado do NSX-T, acredito que tenhamos outros artigos como esse espalhados pela internet, por\u00e9m, o objetivo aqui \u00e9 termos um artigo sobre o assunto em Portugu\u00eas e tudo em um unico lugar, o que acredito que ainda n\u00e3o tenhamos.<\/p>\n

 <\/p>\n

A troca do certificado autoassinado \u00e9 importante, primeiro por eliminar o alerta que existe no dashboard da ger\u00eancia do NSX-T quando esse certificado est\u00e1 vencido, outro ponto \u00e9 a quest\u00e3o da seguran\u00e7a, \u00e9 uma boa pr\u00e1tica manter os certificados v\u00e1lidos, mesmo quando esses s\u00e3o autoassinados e n\u00e3o “assinados” por uma entidade certificadora oficial.<\/p>\n

 <\/p>\n

Se em seu ambiente o NSX-T faz parte de uma instala\u00e7\u00e3o VCF, VMware Cloud Foundation, existe um script e um processo mais simples, sendo assim, use esse artigo somente se estiver utilizando o NSX-T em modo standalone.<\/p>\n

Para a troca do certificado autoassinado, vamos precisar de:<\/strong><\/p>\n

1 \u2013 Um servidor\/VM com Windows Server para ser uma CA (Root Certificate Authority).<\/p>\n

2 \u2013 Uma VM com Windows e OpenSSL instalado, para gerar o certificado que vai ser assinado pelo CA. (n\u00e3o vou demonstrar aqui a instala\u00e7\u00e3o do OpenSSL, a instala\u00e7\u00e3o \u00e9 muito simples e segue o padr\u00e3o Next > Next > Finish j\u00e1 conhecido em outros softwares Windows.<\/p>\n

3 \u2013 Acesso a ger\u00eancia do NSX-T, no meu laborat\u00f3rio a vers\u00e3o atual \u00e9 a 3.2.2.<\/strong><\/p>\n

4 \u2013 Um API Manager\/Client qualquer, nesse exemplo utilizei o PostMan.<\/strong><\/p>\n

 <\/p>\n

1 – Configurando o servidor rodando Windows Server para assinar certificados compat\u00edveis com o NSX-T:<\/h3>\n

A primeira tarefa que deve ser realizada \u00e9 preparar o Windows Server rodando o servi\u00e7o “Active Directory Certificate Services”, caso essa “role<\/em>” ainda n\u00e3o esteja instalada em seu servidor, instale atrav\u00e9s da aplica\u00e7\u00e3o Server Manager<\/em> do Windows Server:<\/p>\n

Acesse o Server Manager do Windows Server<\/p>\n

\"Open<\/p>\n

Habilite a fun\u00e7\u00e3o (feature) Active Directory Certificate Services<\/strong>:<\/p>\n

\"\"<\/p>\n

<\/p>\n

2 – Exportando o certificado Root contido no Certification Authority do Windows Server:<\/h3>\n

Feito a instala\u00e7\u00e3o da feature <\/em>anterior, inicie a aplica\u00e7\u00e3o Certification Authority <\/strong>no windows server:<\/p>\n

\"\"<\/p>\n

Clique com o bot\u00e3o direito em Autoridade Certificadora e depois em Properties<\/p>\n

\"\"<\/p>\n

Clique em View Certificate<\/em><\/p>\n

\"\"<\/p>\n

Depois em Detail <\/em>e ent\u00e3o Copy to File…<\/em><\/p>\n

\"\"<\/p>\n

Escolha a op\u00e7\u00e3o Base-64 encoded X.509 (.CER)<\/strong><\/p>\n

\"\"<\/p>\n

Salve o arquivo com o nome root-ca <\/strong>, para n\u00e3o misturar com os arquivos que vamos precisar nos pr\u00f3ximos passos.<\/p>\n

3 – Criando um template para o NSX-T no certification authority<\/h3>\n

Ainda no app Ceritification Authority, clique com o bot\u00e3o direito em Certificate Templates <\/strong>e ent\u00e3o Manage.<\/strong><\/p>\n

\"\"<\/p>\n

Procure pelo certificado Web Server <\/strong>e ent\u00e3o duplique ele selecionando a op\u00e7\u00e3o Duplicate Template.<\/strong><\/p>\n

\"\"<\/p>\n

V\u00e1 at\u00e9 a aba Compatibility<\/strong> e escolha as op\u00e7\u00f5es Windows Server 2008 e Windows 7 \/ Server 2008 R2,<\/strong> respectivamente nas op\u00e7\u00f5es Compatibility Settings e Certificate recipient.<\/p>\n

\"\"<\/p>\n

Na aba General, escolha um nome para esse Template, no meu caso NSX-T-VBRAIN,<\/strong> e em Validity Period escolha o tamanho do per\u00edodo que voc\u00ea deseja que o template seja v\u00e1lido, no meu caso deixei o default de 2 anos.<\/p>\n

\"\"<\/p>\n

Agora na aba Extensions, <\/strong>clique em Basic Constraints <\/strong>e ent\u00e3o em Edit<\/strong><\/p>\n

\"\"<\/p>\n

Esteja certo que a op\u00e7\u00e3o Enable this extension <\/strong>est\u00e1 habilitada.<\/p>\n

\"\"<\/p>\n

Agora que o template est\u00e1 pronto, volte at\u00e9 o Ceritification Authority e clique com o bot\u00e3o direito em Certificate Templates, New <\/strong>e ent\u00e3o em Certificate Template to Issue.<\/strong> Importe o template criado anteriormente.<\/p>\n

\"\"<\/p>\n

 <\/p>\n

4 – Criando um CSR (Certificate Signing Request) e um certificado atrav\u00e9s do OpenSSL.<\/h3>\n

Primeiro, precisamos criar um arquivo de configura\u00e7\u00e3o que usaremos para criar um Certificate Signing Request (CSR) e uma chave privada. Use o texto abaixo e configure com o commonName, DNS e endere\u00e7os IP de cada uma das managers do NSX-T, caso tenha 3.<\/p>\n

Ao final, salve o arquivo CSR como nsx.cfg<\/strong>. Fa\u00e7a esse procedimento na VM que est\u00e1 com OpenSSL instalado, pois vamos precisar do CSR para criar um certificado atrav\u00e9s do OpenSSL.<\/p>\n

Altere somente os campos que estivem em Vermelho<\/span><\/strong>, de acordo com o seu ambiente, caso voc\u00ea tenha 3 managers no NSX-T, coloque o FQDN e IP de todas elas a baixo de alt_names, inclusive da VIP utilizada entre elas, a ordem n\u00e3o importa.<\/p>\n\n\n\n
\n
\n
[ req ]<\/span><\/div>\n<\/div>\n
\n
default_bits <\/span>=<\/span> 2048<\/span><\/div>\n<\/div>\n
\n
distinguished_name <\/span>=<\/span> req_distinguished_name<\/span><\/div>\n<\/div>\n
\n
req_extensions <\/span>=<\/span> req_ext<\/span><\/div>\n<\/div>\n
\n
prompt <\/span>=<\/span> no<\/span><\/div>\n<\/div>\n
\n
<\/div>\n<\/div>\n
\n
[ req_distinguished_name ]<\/span><\/div>\n<\/div>\n
\n
countryName <\/span>=<\/span> BR<\/span><\/div>\n<\/div>\n
\n
stateOrProvinceName <\/span>=<\/span> MG<\/span><\/div>\n<\/div>\n
\n
localityName <\/span>=<\/span> Uberlandia<\/span><\/div>\n<\/div>\n
\n
organizationName <\/span>=<\/span> Laboratorio<\/span><\/div>\n<\/div>\n
\n
organizationalUnitName <\/span>=<\/span> TI<\/span><\/div>\n<\/div>\n
\n
commonName <\/span>=<\/span> nsx.laboratorio.com.br<\/span><\/div>\n<\/div>\n
\n
<\/div>\n<\/div>\n
\n
[ req_ext ]<\/span><\/div>\n<\/div>\n
\n
subjectAltName <\/span>=<\/span> @alt_names<\/span><\/div>\n<\/div>\n
\n
<\/div>\n<\/div>\n
\n
[alt_names]<\/span><\/div>\n<\/div>\n
\n
DNS.1 <\/span>=<\/span> nsx.laboratorio.com.br<\/span><\/span><\/div>\n<\/div>\n
\n
DNS.2 <\/span>=<\/span> nsx-manager-01.laboratorio.com.br<\/span><\/span><\/div>\n<\/div>\n
\n
DNS.3 <\/span>=<\/span> nsx-manager-02.laboratorio.com.br<\/span><\/span><\/div>\n<\/div>\n
\n
DNS.4 <\/span>=<\/span> nsx-manager-03.laboratorio.com.br<\/span><\/span><\/div>\n<\/div>\n
\n
IP.1 <\/span>=<\/span> 192.168.0.100<\/span><\/div>\n<\/div>\n
\n
IP.2 <\/span>=<\/span> 192.168.0.101<\/span><\/div>\n<\/div>\n
\n
IP.3 <\/span>=<\/span> 192.168.0.102<\/span><\/div>\n<\/div>\n
\n
IP.4 <\/span>=<\/span> 192.168.0.103<\/span><\/div>\n<\/div>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Conforme informado anteriormente, salve o arquivo como nsx.cfg, <\/strong>precisaremos dele no pr\u00f3ximo passo, no OpenSSL.<\/strong><\/p>\n

Agora, abra um prompt de comando como administrador,<\/strong> navegue at\u00e9 a pasta que foi salvo o arquivo NSX.cfg utilizando o comando CD, e ent\u00e3o crie um certificado e uma key pelo OpenSSL usando o seguinte comando:<\/p>\n

openssl req -out <\/span>nsx.<\/span>csr<\/span> -newkey rsa:<\/span>2048<\/span> -nodes -keyout <\/span>nsx.<\/span>key<\/span> -config <\/span>nsx.<\/span>cfg<\/span> -sha256<\/span><\/strong><\/p>\n

\"\"<\/p>\n

Ao final do processo, teremos dois novos arquivos, NSX.CSR<\/strong> e NSX.KEY<\/strong><\/p>\n

5 – Assinando o certificado criado atrav\u00e9s do OpenSSL no Authentication Authority do Windows Server, utilizando o template criado anteriormente.<\/h3>\n

Agora, atrav\u00e9s de um navegador web em qualquer maquina, acesse o certification authority <\/strong>do Windows Server utilizado anteriormente para criar um template, apenas digite o ip ou FQDN do Windows Server e acrescente “\/certsrv”.<\/strong><\/p>\n

https:\/\/<IP DO WINDOWS SERVER><\/strong>\/certsrv\/<\/p>\n

Clique em Request a certificate<\/strong><\/p>\n

\"\"<\/p>\n

E ent\u00e3o, em Advanced certificate request.<\/strong><\/p>\n

\"\"<\/p>\n

Agora, copie e cole o conteudo do arquivo NSX.CSR, <\/strong>aquele gerado anteriormente pelo OpenSSL, apenas abra em um Notepad++ ou qualquer outro editor de texto, d\u00ea um Control-C e Control-V do conte\u00fado dentro<\/p>\n

Copie o conte\u00fado:<\/p>\n

\"\"<\/p>\n

E cole aqui<\/p>\n

\"\"<\/p>\n

Em template, use o template criado anteriormente no passo 2<\/p>\n

\"\"<\/p>\n

Logo ap\u00f3s, fa\u00e7a o download do certificado assinado, esteja certo que a op\u00e7\u00e3o Base 64 encoded<\/strong> est\u00e1 marcada, e ent\u00e3o clique em Download certificate.<\/strong><\/p>\n

\"\"<\/p>\n

 <\/p>\n

6 – Importando o certificado assinado no NSX-T<\/h3>\n

Primeiro, acesse a manager (se tiver apenas uma) ou se o ambiente tiver mais de uma, acesse elas pela VIP.<\/p>\n

Ent\u00e3o, v\u00e1 em System > Certificates<\/strong><\/p>\n

Clique em IMPORT > CERTIFICATE<\/strong><\/p>\n

\"\"<\/p>\n

 <\/p>\n

ATEN\u00c7\u00c3O: Ser\u00e1 necess\u00e1rio importar tanto o certificado quando o root, por\u00e9m, se a ordem seguida for primeiro o Root, logo ap\u00f3s a tentativa de importar o certificado o NSX vai acusar um erro, pois vamos precisar importar o Root dentro da FULL CHAIN (cadeia total) do certificado , para simplificar, siga a ordem deste tutorial.<\/strong><\/span><\/p>\n

Conforme informado na imagem a seguir, copie o conteudo do certificado assinado pela CA do Windows, aquele que fizemos o download no passo anterior e o conte\u00fado do certificado Root, que foi feito o donwload na primeira etapa, coloque os dois na seguinte ordem:<\/p>\n

_________________________________________________<\/p>\n

\u2014\u2013BEGIN CERTIFICATE\u2014\u2013\r\nCONTEUDO DO CERTIFICADO ASSINADO PELA CA<\/span>\r\n\u2014\u2013END CERTIFICATE\u2014\u2013\r\n\u2014\u2013BEGIN CERTIFICATE\u2014\u2013\r\nCERTIFICADO ROOT DA CA<\/span>\r\n\u2014\u2013END CERTIFICATE\u2014\u2013\r\n_____________________________________________________\r\n\r\nDesmarque a op\u00e7\u00e3o Service Certificate<\/strong><\/span><\/pre>\n
\"\"<\/p>\n
Agora, copie o conte\u00fado da Key, gerada no passo em que geramos ela no OpenSSL, e copie aqui:<\/p>\n
\"\"<\/p>\n
Clique em SAVE.<\/p>\n
Agora, seguindo a ordem correta, importe tamb\u00e9m o certificado ROOT.<\/p>\n
\"\"<\/p>\n
Apenas copie e cole o conte\u00fado do certificado Root e desmarque a op\u00e7\u00e3o Service Certificate.<\/strong><\/p>\n
\"\"<\/p>\n
7 – Ativando o certificado novo pelo Postman.<\/h3>\n
 <\/p>\n
ATEN\u00c7\u00c3O: <\/span><\/strong>Caso apare\u00e7a um erro ao tentar aplicar o certificado, execute os processos exemplificados nesse outro artigo para desabilitar o check revogation list <\/em>do certificado.<\/span><\/span><\/p>\n
Resolvendo o erro “Certificate validation failed. Reason : Certificate was rejected: CRL check failed” ao tentar aplicar um novo certificado autoassinado<\/a><\/p><\/blockquote>\n