La regeneración de certificados puede resolver de forma segura el tráfico de autenticación, que no se está cifrando correctamente.
De forma predeterminada, los servidores host de VMware, al igual que los hosts ESXi, suelen generar nuevos certificados cuando el hipervisor está instalado en un hardware totalmente nuevo. A través del proceso de configuración del host y de asignación de recursos, es común que la configuración del servidor sufra muchos cambios de configuración a medida que se endurece el dispositivo.
Más información sobre ciberseguridad
Entre los pasos de endurecimiento que su organización puede emplear, unirse a un dominio de Active Directory (AD) ayuda a los administradores a simplificar la administración del hipervisor subyacente utilizado para alojar máquinas virtuales (VM) centralizando la administración de las cuentas de usuario y los grupos a los que se permite acceder al servidor, así como los cambios que están autorizados a realizar.
VER: Descarga de la plantilla de la política de seguridad de la información (Tech Pro Research)
Sin embargo, aunque el proceso para unirse al servidor a AD puede ser sencillo, puede y seguramente fallará si los certificados SSL utilizados por el host de VMware caducan, no son válidos o están dañados de algún otro modo. Todo esto plantea una dificultad para conseguir que el servidor autentique las cuentas de dominio, lo que hará que los usuarios no puedan mantener el servidor hasta que se resuelva. ¿Pero cómo puedes arreglar esto una vez que ha pasado? O peor aún, si nunca has sido capaz de unirlo al dominio en primer lugar?
Antes de entrar en el proceso, hay algunos requisitos que debemos cumplir, sólo para asegurarnos de que todo funciona en consecuencia.
- Servidor Bare-metal con hipervisor VMware instalado
- ESXi Shell habilitado
- Cuenta de administrador/raíz local en el host de VMware
- Ordenador Windows o Mac
- Cliente SSH
- ISP de banda ancha (Opcional; pero puede ser requerido dependiendo de su configuración)
- Red conmutada (Opcional; pero puede ser necesario dependiendo de su configuración)
Realizar copias de seguridad de los certificados existentes
Inicie sesión en el ESXi Shell con su cuenta de administrador local. Introduzca el siguiente comando para cambiar el directorio de trabajo a la ubicación desde la que necesitamos trabajar:
cd /etc/vmware/ssl
Introduzca los siguientes comandos para crear copias de seguridad de los archivos CRT y KEY asociados con su servidor:
mv rui.crt rui.crt.bak mv rui.key rui.key.bak
Generación de nuevos certificados
Inicie sesión en el ESXi Shell con su cuenta de administrador local. Introduzca el siguiente comando para crear los nuevos certificados:
/Generar-certificados
Los nuevos certificados sobrescribirán los anteriores, pero no las copias de seguridad que creamos en la sección anterior con la extensión BAK. La verificación de los nuevos certificados se puede realizar introduciendo el siguiente comando y comparando los sellos de tiempo:
ls -la
Reinicie el servidor host manualmente o introduciendo el siguiente comando para completar el cambio de configuración:
esxcli system shutdown reboot --razón "Reason for reboot" (Razón para reiniciar)
Nota: Otra forma de obtener confirmación visual es iniciar sesión en el host ESXi a través del cliente web y navegar hasta la pestaña Seguridad y Usuarios | Certificados. En la sección Asunto, el nombre del host de su host VMware debe coincidir con el nombre después de «CN=».
Boletín informativo de consejotecnologico.com
Refuerce las defensas de seguridad de TI de su organización manteniéndose al día de las últimas noticias, soluciones y mejores prácticas en materia de ciberseguridad. Entregado los martes y jueves