Несколько недель назад был у меня примечательный разговор с сотрудницей из отдела по обеспечению компьютерной безопасности по поводу положения дел с этой самой безопасностью в виртуальных средах. И поведала она мне довольно интересную и в то же время печальную вещь, которую услышала побывав на каком-то форуме или конференции (сейчас это уже не важно) по виртуализации. Так вот, один из докладчиков на этом мероприятии спросил у присутствующих про то, понимают ли они, что в связи с внедрением той или иной платформы виртуализации нужно пересматривать всю политику безопасности существующую до сих пор, на что практически все ответили утвердительно. А на вопрос "Какие конкретные шаги были сделаны в этом направлении?" не ответил никто. Повторяю: никто ничего не сделал. Ну это так, прелюдия.
А поделиться я хотел своим опытом замены сертификатов на VMware vCenter Server, VMware ESX и VMware vCenter Site Recovery Manager. Собственно говоря, про замену сертификатов на VC и ESX'ах написано очень много. Поэтому, чтобы не повторяться, приведу ссылку на две статьи в блоге у Derek Seaman (спасибо, далёкий иноземный друг) которые, на мой взгляд, наиболее полно и корректно описывают данную процедуру:
vCenter Server 4.0 SSL Certificate Generation -Fixed
vSphere ESXi SSL mystery solved
Затруднения возникли, когда дошла очередь до SRM. Скажу честно, что перед началом работы с моей стороны не было проведено никакой подготовки. Да и зачем? Ведь ко мне придут ребята из EMC, которые, по их заверениям, являются самыми крутыми интеграторами VMware в Израиле. Да они этот SRM с закрытыми глазами ночью устанавливают. Не буду подробно описывать весь процесс установки, длившийся практически неделю, но закончилось это тем, что были переустановлены оба VC (один в основном ЦОД, другой в резервном), на тех же серверах был установлен и SRM. При инсталляции не были соблюдены naming conventions, да и установка VC и SRM на один сервер шло вразрез с нашими первоначальными планами. Поэтому "крутых ребят" я отпустил, а начальству сказал, что буду весь этот бардак переделывать собственными силами. Как говорится, назвался груздем - полезай в кузов. Для начала была скачена книга Майка Лаверика "Administering VMware Site Recovery Manager 4.0". К сожалению, тема замены сертификатов (а это была наша основная проблема) там не раскрыта так, как бы мне лично хотелось, а приведена лишь ссылка на устаревший документ, который описывает процедуру для первой версии SRM'а. Пришлось обращаться за помощью к всезнающему Гуглю. Он и привёл меня на блог Frank'а Denneman'а и указал на существование двух KB от самой VMware:
Certificate Error Handling in SRM
Requirements When Using Trusted Certificates with SRM
После прочтения этих документов всё встало на свои места. Полчаса и установка завершена успешно.
Ну и где же тут мораль? А мораль тут такова:
"Лучше 2 часа потратить на чтение документации, чем неделю мудохоться с инсталляцией".
