VCF 9 External CA – Deel 4 – Certificate Authority instellen en certificaten vervangen

In de voorgaande artikelen heb je een Active Directory Certificate Services server als beoogd CA geïnstalleerd en geconfigureerd. IIS is geïnstalleerd, Web Enrollment ingeschakeld en een template aangemaakt. Nu is het tijd om de daadwerkelijke aanpassingen te doen binnen VMware Cloud Foundation 9.

Voorwaarden:

• Active Directory Certificate Services gereed
• AD CS Template aangemaakt
• DNS Records zijn correct en beschikbaar op de componenten
• Connectiviteit tussen Operations en je CA (zie VMware Ports and Protocols)
• Tijd (via NTP) is synchroon tussen je VCF Fleet (o.a. SDDC en Fleet Manager Appliance) en de CA Server/Active Directory.

Goed om te weten.

Je stelt de CA voor VCF Management apart in van de VCF Instance(s). Je doet dit dus op minimaal 2 plekken.
Op dit moment (versie 9.0.2) ondersteunen VCF management componenten alleen Microsoft Certificate Authority’s. VCF Instance componenten ondertussen zowel Microsoft Certificate Authority’s als OpenSSL.

Configureren van de Certificate Authority binnen VCF Operations

1. Ga naar de VCF Operations console https://<vcf_operations_fqdn> en login met een user die admin rechten heeft
2. Ga in het linker menu naar ‘Fleet Manager‘ en kies ‘Certificates‘
   
3. Klik in het rechter scherm op ‘VCF Management‘ of kies een VCF Instance en klik rechtsboven op ‘Configure CA‘
   De VCF Management components worden dus apart ingesteld van de VCF Instances.
   
4. Geef de details op van de Microsoft Certificate Authority en sla op met ‘Save‘.
   Let goed op. De template name kan bij de VCF Instances geen spatie bevatten, bij VCF Management wel!
   
   
   • CA Server URL: https://adcs.vcf.lab/certsrv
     Geef hier de URL op waarop je CA te bereiken is en zet er /certsrv achter.
     
     Dit moet een https url zijn. Vandaar dat we IIS met een https binding hebben geconfigureerd.
     Het certificaat moet de FQDN in de Common Name hebben. Anders geeft Operations een foutmelding.
     Welke URL maakt overigens niet uit, het mag ook een CNAME zijn, maar gebruik overal hetzelfde.
     
   • User Name: svc-vcf-ca@vcf.lab
     Vervang voor het door jou gekozen serviceaccount en domein
   • Password: ..
   • Template Name:
     Hier is dus onderscheid tussen VCF Managent en VCF Instances indien je template een spatie heeft.
     Ook is dit hoofdlettergevoelig, wees dus exact bij het invoeren.
     
     • In geval van VCF Management: VCF Template
     • Voor de VCF Instance(s): VCFTemplate (spaties zijn niet toegestaan en slaat hij over)
       
5. Als alles goed gaat krijg je de melding dat het is bijgewerkt:
   
   
6. Troubleshooting
   • Log files
     
     VCF Management CA settings worden doorgevoerd door Fleet Manager.
     Log in op de fleetmanager via SSH en onderzoek dit log bestand: /var/log/vrlcm/vmware_vrlcm.log
     
     VCF Instance CA settings worden doorgevoerd door SDDC Manager.
     Login op de SDDC Manager via SSH (vfc user is afdoende) en onderzoek dit lop bestand: /var/log/vmware/vcf/operationsmanager/operationsmanager.log
     
     
   • Krijg je deze foutmelding
     
     Dit kan diverse oorzaken hebben, hieronder 3 situaties waar ik zelf tegenaan gelopen ben.
     
     • Stap 1 – Contoleer dan of de Common Name van je Webserver Certificaat wel goed is.
       Dit kan je doen door zelf in de browser de /certsrv pagina te openen en de common name te controleren (moet dus niet de CA name zijn, maar de FQDN).
       Dit kan je ook terug zien in /var/log/vrlcm/vmware_vrlcm.log:
       “Certificate for <adcs.vcf.lab> doesn’t match any of the subject alternative names”
       
     • Stap 2 – Ook kan het zijn dat je geen HTTPS hebt geïnstalleerd, je login gegevens verkeerd zijn of Basis Authentication niet werkt.
       
       Valideer dit door zelf de HTTPS URL exact zoals je hem invoert in de browser (van de AD CS bijv.) te testen. Gebruik ook precies de zelfde inlog. Je kan hier bovendien ook het request simuleren, zodat je ook zeker weet dat je service account de juist rechten heeft.
       
     • Stap 3 – 3e reden kan zijn dat je een spatie in je Template name had. SDDC manager kan daar niet mee overweg en filtert de spaties er uit. Dit is alleen het geval voor VCF Instance CA settings. Probeer het dan dus nogmaals, maar dan simpelweg zonder de spatie in de naam.
       
       Je kan dit terugzien in de logs.
       Op de SDDC Manager “cat /var/log/vmware/vcf/operationsmanager/operationsmanager.log” of “tail -f /var/log/vmware/vcf/operationsmanager/operationsmanager.log”.
       Hij maakt verbinding met de AD CS en haalt de beschikbare templates op. Alles met een spatie heeft opeens geen spatie meer, zelfs de standaard Web Server template heeft daar last van (die we beschikbaar hadden gemaakt voor IIS zelf).
       
       “VCF Template” is opeens “VCFTemplate” geworden.
       

Certificaten vervangen

Eindelijk is het zover! We kunnen certificaten gaan vervangen.

Hoewel dit grotendeels geautomatiseerd is, moeten er wel (per component) 2 stappen worden doorlopen;
– Generate CSRS (Certificate Signing Request)
– Replace With Configured CA Certificate

1. Ga naar de VCF Operations console https://<vcf_operations_fqdn> en login met een user die admin rechten heeft
2. Ga in het linker menu naar ‘Fleet Manager‘ en kies ‘Certificates‘
   
3. Kies vervolgens de gewenste instance waar je van een component het certificaat wilt vervangen.
   In dit voorbeeld begin ik met het vervangen van het certificaat van vCenter, dus kies ik de instance ‘vcflab01’ (geel).
   
4. Zoek in de lijst het component waarvan je het certificaat wilt vervangen. In mijn geval vCenter.
   
   
   • Selecteer/Arceer het rondje voor VCF Component, in het voorbeeld vCenter.
   • Klik boven de lijst op … en kies Generate CSR
   • Vul de gevraagde gegevens in, minimaal alles met een * en klik op Save.
     
     Je krijgt nu bovenaan een blauwe melding te zien: “CSR generation for appliance x is in progress”. Dit duurt een minuutje of 1-2.
     Zodra de balk wordt vervangen door een groene balk met de melding “CSR generation for appliance x is successful” kan je door met de volgende stap.
     
5. Selecteer nu weer het vCenter component (of welke je mee bezig was).
   Klik vervolgens boven de lijst op … en kies “Replace With Configured CA Certificate“
   Als het CSR correct is gegenereerd krijg je nu de vraag om de vervangen te bevestigen.
   
   Klik op ‘Confirm“
   Er volgt weer een blauwe balk met de melding: “Certificate replacement for appliance x is in progress“. Dit kost een paar minuten. Eventueel kan je de voortgang ook volgens via “Tasks” in onder “Fleet Management“, bij voorkeur dan wel even in een ander tabblad.
   
   Zordra het gereed is en de UI bijgewerkt zie je:
   
   “Certificate replacement for appliance x is successful. Changes may take some time to appear.“
   
   Als je het scherm van Operations ververst zie je in de lijst Type: Microsoft CA in plaats van VMCA.
   
   
6. Controleer het certificaat in de browser, in mijn geval door opnieuw naar de vCenter url te gaan.
   
   Issued by moet de Common Name van de CA bevatten.
   Uiteraard moet de Issued To overeenkomen met de FQDN van je VCF Component.
   
   

Zo, deze reeks zit er op!

Je hebt nu alles in place om de diverse componenten van een nieuw certificaat te voorzien.

Bron (5 maart 2026: https://techdocs.broadcom.com/us/en/vmware-cis/vcf/vcf-9-0-and-later/9-0/fleet-management/certificate-management-9-0/configure-a-certificate-authority_9-0.html