This post is also available in: Inglese

Reading Time: 2 minutes

Chi ha provato (o sta utilizzando) PernixData FVP si sarà accorto che ogni volta accedete al manager vi comparirà un warning legato al certificato. Anche se importate il certificato, il warning permane.

Questo perché il certificato che viene installato è statico (e non generato al momento) e contiene come nome del server la stringa fvp.pernixdata.com che difficilmente corrisponderà al vostro FQDN del manager server. Quindi il certificato non è valido non solo per la CA che non è trusted (e questo sarebbe risolvibile importando il certificato), ma anche perché il nome non corrisponde (e questo non può essere risolto con la semplice importazione del certificato, ma bisogna rigenerare il certificato).

Per risolvere il problema serve quindi un certificato self-signed (previo poi importalo nel proprio client) oppure un certificato valido rilasciato da una CA attendibile (anche interna).

Per creare un nuovo certificato self-signed viene d’aiuto uno specifico articolo della PernixData KB (accedibile però solo tramite login) che spiega i vari passi nel dettaglio.

Il primo passo è disporre del OpenSSL toolkit (il modo più semplice è utilizzare una macchina Linux, ma si può scaricare l’OpenSSL anche per Windows).

A questo punto si può generare il certificato con il comando seguente:

openssl req -nodes -new -x509 -keyout rui.key -out rui.crt -days 3650 ( -config openssl.cnf )

Il file openssl.cnf può essere preparato in anticipo con tutte le domande (l’articolo di KB ne mostra un esempio), ma si può anche procedere in modalità interattiva. L’unica accortezza è usare per il CommonName match il nome DNS completo (FQDN) del vostro FVP Manager. Notare anche che il certificato viene generato con una validità di 10 anni.

A questo punto bisogna convertire il formato:

openssl pkcs8 -topk8 -inform PEM -outform DER -in rui.key -out new-key -nocrypt

E rinominare o copiare il file rui.crt:

copy rui.crt new-cert

A questo punto bisogna copiare i file new-cert e new-key direttamente nel vostro FVP management in una directory particolare. Nel caso lo abbiate installato con i parametri di default sarà:

C:\Program Files\PernixData\FVP Management Server\Server\conf\

Alla fine dovrete riavviare il servizio del PernixData FVP management Server:

net stop prnxserv
net start prnxserv

Ovviamente, essendo il certificato self-signed, bisognerà poi importarlo in ogni client, all’interno della “Trusted Root Certification Authorities”, per evitare che compaia il warning legato alla CA non attendibile.

Share

Related Posts

  • Come importare il certificato della CA di vCenter

    A partire da VMware vSphere 6.0, la nuova componente del vCenter chiamata PSC (Platform Service Controller) comprende oltre alla parte di SSO (introdotta per la prima volta in vSphere 5.1) anche alcune funzionalità, tra le quali una vera e propria CA (Certification Authority) per la…

  • Il blog prende vita

    Alla fine un nuovo blog sulla virtualizzazione prende vita e passa on-line... Forse non serviva... o forse sì :) Per ulteriori informazioni vedere anche la pagina dei perché.

  • Limiti del vSphere Client 5.5

    Come già scritto vi potrebbero essere diversi motivi per non aggiornare a vSphere 5.5 e alcuni sono legati anche al client per Windows (il vSphere Client). Vero che sarà soppiantato dal nuovo vSphere Web Client, ma ancora oggi questo client è necessario per alcune attività…

Virtualization, Cloud and Storage Architect. Tech Field delegate. VMUG IT Co-Founder and board member. VMware VMTN Moderator and vExpert 2010-24. Dell TechCenter Rockstar 2014-15. Microsoft MVP 2014-16. Veeam Vanguard 2015-23. Nutanix NTC 2014-20. Several certifications including: VCDX-DCV, VCP-DCV/DT/Cloud, VCAP-DCA/DCD/CIA/CID/DTA/DTD, MCSA, MCSE, MCITP, CCA, NPP.