La gestión de certificados SSL es crucial para mantener la seguridad y la confianza en las comunicaciones dentro de entornos de virtualización de escritorio. Un certificado SSL caducado o mal configurado puede generar errores de certificado en el navegador, impedir el arranque de servicios esenciales e incluso interrumpir la conectividad de otros productos integrados con el sistema. Este artículo profundiza en el proceso de cambio del certificado SSL en el servidor de seguridad de VMware Horizon, proporcionando una guía detallada para asegurar la integridad y la continuidad de su infraestructura.
El Desafío de los Certificados SSL Caducados
El certificado "Machine SSL Certificate" en VMware vCenter, y por extensión en componentes como el servidor de seguridad de Horizon, puede ser una fuente recurrente de problemas si no se gestiona adecuadamente. Un escenario común es la caducidad del certificado. A menudo, los administradores configuran certificados con una larga duración, lo que lleva a una falsa sensación de seguridad hasta que, inesperadamente, surgen errores. Estos errores pueden manifestarse de diversas maneras, desde mensajes de "Certificado no válido" en el navegador hasta la imposibilidad de iniciar servicios críticos como "vmware-vxpd" o "vmware-vpxd". Un síntoma claro de un certificado de máquina caducado se puede observar en los logs, como var/log/vmware/vpxd-svcs/vpxd-svcs.log, donde puede aparecer un mensaje similar a: Server rejected the provided time range. Cause: ns0:InvalidTimeRange: The token authority rejected an issue request for TimePeriod [startTime=Thu Jan 02 09:22:13 EST 2020, endTime=Fri Jan 03 09:22:13 EST 2020] :: Signing certificate is not valid at Thu Jan 02 09:22:13 EST 2020, cert validity: TimePeriod [startTime=Wed Jan 06 20:44:39 EST 2010, endTime=Wed Jan 01 20:54:23 EST 2020]. En este ejemplo, la validez del certificado expira el 2 de abril de 2023, y a partir de esa fecha, todo comienza a fallar.
Preparativos Esenciales Antes de la Sustitución
Antes de emprender cualquier acción para cambiar el certificado SSL, es de suma importancia realizar una copia de seguridad completa de su vCenter. Una alternativa recomendada es crear un snapshot del vCenter mientras está apagado. Esto le proporcionará un punto de restauración seguro en caso de que algo no salga según lo planeado.
Generación y Gestión de Certificados SSL
El proceso de obtención de un certificado SSL implica varios pasos clave. Al solicitar un certificado SSL, uno de los primeros pasos es generar un código CSR (Certificate Signing Request) y enviarlo a su Autoridad de Certificación (CA). Una vez que la CA firma su certificado SSL, le enviará todos los archivos de instalación necesarios a su buzón de correo electrónico. Debe descargar la carpeta ZIP y extraer los archivos SSL.
Para la gestión de certificados en vSphere 6, se utiliza una herramienta específica. La importación de un certificado personalizado para reemplazar el certificado SSL existente se realiza seleccionando la opción '1' para generar un nuevo CSR o archivo de solicitud de certificado, o la opción '2' para importar un certificado personalizado y sus claves.
En el caso de utilizar vCenter bajo Windows, el archivo de configuración certool.cfg se encuentra en %ProgramFiles%\VMware\vCenter Server\vmcad\. Si utiliza el appliance de VMware, la ruta es /usr/lib/vmware-vmca/bin/. Seleccionando '1' en la herramienta de certificados, se genera un nuevo CSR basándose en la configuración introducida en el fichero certool.cfg, y se especifica una carpeta donde guardarlo, por ejemplo, C:\Certificados.
Procedimiento de Importación del Nuevo Certificado SSL
La importación del nuevo certificado SSL en el servidor de conexión (el procedimiento es idéntico para el servidor de seguridad) se realiza a través de la consola de administración. Navegue a la sección de Certificados, específicamente a Certificates > Personal > Certificates. Aquí debería aparecer el certificado del servicio del servidor de conexión, que se autogeneró durante la instalación y debería tener el nombre del nombre de la máquina.
Para importar el nuevo certificado: haga clic derecho en la columna que muestra los certificados y seleccione All tasks > Import. Importe el certificado utilizando todas las opciones por defecto. Proceda a través de los pasos Next, Next, Next. Después de la importación, el certificado recién importado debe aparecer con un icono que contiene una clave.
Es fundamental asegurarse de que el nuevo certificado tenga una clave privada. Además, verifique que ningún otro certificado de servidor en la carpeta Personal > Certificates tenga el mismo "Friendly name" que el certificado de vdm.
Uso de Herramientas para Verificar la Configuración SSL
Una vez instalado el nuevo certificado SSL en VMware Horizon View, es recomendable utilizar herramientas de diagnóstico SSL para verificar la configuración. Herramientas como SSL Dragon ofrecen escaneos de diagnóstico para evaluar la salud de su configuración SSL. Estas herramientas son valiosas para identificar posibles problemas de configuración o vulnerabilidades.
SSL Dragon se posiciona como un recurso integral para todas las necesidades SSL, ofreciendo precios competitivos, productos de alta gama de marcas líderes en seguridad SSL y soporte dedicado. Para facilitar la selección del certificado SSL perfecto, disponen de herramientas prácticas. Ofrecen emisión rápida, cifrado potente, una confianza del 99.99% en navegadores, soporte dedicado y una garantía de devolución de dinero de 25 días.
Solución Alternativa: El Script fixsts.sh
En algunos casos, especialmente cuando se trata de un certificado "Machine SSL Certificate" caducado en vCenter, se puede recurrir a un script de solución. Este script, fixsts.sh, puede descargarse y subirse al vCenter. Una vez cargado, se le deben asignar permisos de ejecución mediante el comando chmod +x fixsts.sh.
Al ejecutar el script, se le solicitará la clave de administrador de su SSO. Tras introducir la clave, el script procederá a generar un nuevo certificado de "Machine SSL cert".
Reinicio de Servicios y Verificación
Después de la importación del nuevo certificado o la ejecución del script fixsts.sh, es imperativo reiniciar todos los servicios de vCenter. Esto se logra ejecutando los siguientes comandos:
service-control -stop -all (para detener todos los servicios)service-control -start -all (para iniciar todos los servicios)
Es importante esperar a que todos los servicios se detengan por completo antes de iniciar el reinicio. Una vez que todos los servicios estén en funcionamiento, puede volver a lanzar el comando para verificar el estado de los certificados. Si el procedimiento fue exitoso, el nuevo certificado debería tener una validez extendida, por ejemplo, hasta mayo de 2025. Accediendo al cliente HTML5 de vCenter, se podrá constatar la actualización de la fecha de caducidad del certificado.
Cómo resolver el problema de certificado caducado de VMware vCenter mediante vSphere Certificate Manager
Renovación Preventiva de Certificados
Para evitar encontrarse en situaciones de emergencia, es aconsejable utilizar la función de renovación preventiva de certificados. Si su certificado está a punto de caducar, puede dirigirse a la sección "Administration" -> "Certificates" en vCenter, seleccionar el certificado en cuestión y hacer clic en "Renew". Este proceso permite renovar el certificado de una manera sencilla y anticipada.
Consideraciones Adicionales para Entornos Integrados
Es fundamental recordar que si tiene otros productos o soluciones integradas con vCenter (como NSX Manager, productos de backup, VRO, etc.), deberá restablecer las conexiones con estos componentes. Esto generalmente implica aceptar el nuevo certificado para que la conexión se establezca correctamente.
Conclusión
La gestión proactiva y el cambio oportuno de certificados SSL son pilares fundamentales para mantener la seguridad y la operatividad de su infraestructura de virtualización de escritorio con VMware Horizon y vCenter. Aunque la temática de los certificados puede generar inquietud, seguir los procedimientos adecuados y utilizar las herramientas disponibles puede simplificar enormemente el proceso, asegurando una experiencia fluida y segura para sus usuarios.