Aslında bir önceki yazımız olan Load Balancer işlemi ile birlikte yürüteceğimiz bir operasyon. Önceki resmimize tekrar göz gezdirerek konuyu irdeliyelim;
Mimari ile ilgili yazımızda bahsetmiştik;
Eth0 ip adreslini bize portal hizmeti sunuyor, Eth1 ip adresleri ise konsol hizmeti sunuyor (sanal sunucuların konsolları).
Bu ip adreslerini public bir dns ismi arkasında topluyoruz ve müşterilerimizin kullanacağı vCloud Director Platformu oluşuyor.
vCloud Director 9.7 versiyonunu ile başlayan bir özellik; vcd cell sanal makinaları kendi selfsign sertifikaları ile birlikte geliyor, production’a alana kadar bir sertifika işlemi yapmanız gerekmiyor ama gerek load balancer işlemlerini gerek portalın ayarlarını tam anlamı ile yapmak için sertifika işlemlerini kurulumda tamamlamak önerilir.
Genel vCloud hizmeti verecek servis sağlayacılar wildcard dediğimiz “*.” sertifikaları kullanmakta, bende onun için mevcut da elinizde olan wildcard sertifika ile işlemi nasıl yapacağınızı anlatacağım.
Öncelikle *.pfx formatında olan sertifikamızı Primary olarak kurduğumuz ilk vcd cell’in /tmp lokasyonuna upload ediyoruz. Bunun için herhangi bir scp client yazılımı kullanabilirsiniz. ilerleyen komutlarda sertifika.pfx olarak geçecek
Aslında klasik bir linux serverdaki işlemler gibi bir süreç, bildindik terimleri çok irdelemeyeceğim.
Primary olarak kurduğumuz vcd cell’e ssh ile bağlanıyoruz (Eth0 ip adresi ile tabiki) ve vcd servisini stop ediyoruz.
root@vcd01 [~]# service vmware-vcd stop
Portal hizmeti için yeni bir sertifika depo alanı oluşturuyoruz (keystore) ve sertifikamızı gösteriyoruz;
root@vcd01 [~]# /opt/vmware/vcloud-director/jre/bin/keytool -keystore /tmp/certificates.ks -storepass keystore_password -keypass keystore_password -storetype JCEKS -importkeystore -srckeystore /tmp/sertifika.pfx root@vcd01 [~]# /opt/vmware/vcloud-director/jre/bin/keytool -keystore /tmp/certificates.ks -storetype JCEKS -changealias -alias 1 -destalias http
keystore_password : bu alanlara sertfikanızın şifresini giriyorsunuz.
Konsol hizmeti için yeni bir sertifika depo alanı oluşturuyoruz (keystore) ve sertifikamızı gösteriyoruz;
root@vcd01 [ ~ ]# /opt/vmware/vcloud-director/jre/bin/keytool -keystore /tmp/certificates.ks -storepass keystore_password -keypass keystore_password -storetype JCEKS -importkeystore -srckeystore /tmp/sertifika.pfx
root@vcd01 [ ~ ]# /opt/vmware/vcloud-director/jre/bin/keytool -keystore /tmp/certificates.ks -storetype JCEKS -changealias -alias 1 -destalias consoleproxy
keystore_password : komuttaki bu alanlara sertfikanızın şifresini giriyorsunuz.
source keystore password şeklinde bir soru çıktığında ise bu vcd cell’in root şifresi.
keystore password şeklinde bir soru çıktığında ise bu bizim verdiğimiz şifre.
Mevcut sertifika deposunun (keystore) yedeğini alıyoruz ki sertifika yüklerken keystore’ı bazen patlatabiliyoruz 🙂
root@vcd01 [ ~ ]# cd /opt/vmware/vcloud-director root@vcd01 [ /opt/vmware/vcloud-director ]# cp certificates.ks certificates.ks.OLD
Önceki adımlarda oluşturduğumuz yeni keystore dosyasını vCloud’ın orjinal lokasyonuna atıyoruz;
root@vcd01 [ /opt/vmware/vcloud-director ]# cp /tmp/certificates.ks /opt/vmware/vcloud-director/certificates.ks
Hakları güncelliyoruz;
root@vcd01 [ /opt/vmware/vcloud-director ]# chown vcloud:vcloud /opt/vmware/vcloud-director/certificates.ks
root@vcd01 [ /opt/vmware/vcloud-director ]# chmod -R 600 /opt/vmware/vcloud-director/certificates.ks
Son olarak vCloud Director konfigürasyon script’ini çalıştırıyoruz.
root@vcd01 [ /opt/vmware/vcloud-director ]# /opt/vmware/vcloud-director/bin/configure
Bu adımda bir wizard bize yukarıda belirlediğimiz keystore şifresini soracak, syslog ip adresi soracak (girmeye gerek yok) ve en başta kapattığımız servisleri çalıştırttıracak.
vCloud Director ortamımızdaki diğer 3 sunucuda bildiğiniz gibi bu hizmetlerin üyesi, onun için diğer vcd cell sanal makinalarınıda teker teker güncellememiz gerekli ama bu kadar meşakatli değil.
Sırası ile servisi stop ediyoruz, Hakları güncelliyoruz ve güncel konfigürasyonu Primary cell üzerinden kopyalıyoruz.
root@vcd02 [ ~ ]# service vmware-vcd stop
root@vcd02 [ ~ ]# chown vcloud:vcloud /opt/vmware/vcloud-director/certificates.ks
root@vcd02 [ ~ ]# chmod -R 600 /opt/vmware/vcloud-director/certificates.ks
root@vcd02 [ ~ ]# /opt/vmware/vcloud-director/bin/configure -r /opt/vmware/vcloud-director/data/transfer/responses.properties
Bu son işlemden sonra servis yeniden başlıyor ve diğer vcd cell’e geçebiliriz.
Son olarak vCloud Director üzerindeki Public Address Konfigürasyon alanından portal’a bind edeceğimiz ismi ve certifikamızı import ediyoruz.
[…] son dokunuşu yapıyoruz. Tabi burada Sertifika işlemleri de önemli onun için konu ile ilgili diğer yazımızıda bir kontrol ediniz. Bu sayede tek bir ip ve tek bir isim ile hizmet olacak kullanıcılarını […]
BeğenBeğen
[…] Part – 5 Sertifika İşlemleri […]
BeğenBeğen