https://ns.opennet.ru/openforum/vsluhforumID1/96693.html Здравствуйте.<br><br>Вопрос: <br>а может кто-нибудь скинуть ссылку на пример с описанием создания self-signed сертификатов для vSphere 5.5 БЕЗ использования Microsoft Active Directory Certificate Services? (Или, как вариант, с использованием Microsoft Active Directory Certificate Services в режиме Standalone, без использования Certificate Templates)?<br><br>Во всех статьях до которых смог дотянуться (и на kb.vmware.com и на других ресурсах), описывающих генерацию self-signed сертификаторв для служб vSphere используется Microsoft Active Directory Certificate Services. (Расписывается что надо в ADCS созать шаблон, сделав копию с стандартного "Web Server", а затем в этом шаблоне установить свойства, и уже этот шаблон использовать для генерации сертификата.)<br><br>В серии статей http://www.wooditwork.com/2011/11/30/vsphere-5-certificates-1-installing-a-root-certificate-authority-3/ вроде бы пример, в котором используется Microsoft ADCS без шаблонов. Но мне не понятно следующее, все статьи из kb.vmware.com предписывают:<br>1) со https://ns.opennet.ru/openforum/vsluhforumID1/96693.html#3 Wed, 05 Oct 2016 05:44:10 GMT &gt; Ведь по идее имея созданный запрос на сертификат подписать можно и с <br>&gt; использованием openssl (вместо Microsoft ADCS)? Или нет?<br><br>Честно говоря, не знаю. Мы пользовались MS ADCS только из-за того, что у нас оно активно используется в связке с другим ПО. И сам я смутно понимаю, как ADCS работает, единственное, что пока что успел понять, что надо надёжно хранить список отозванных сертификатов. У нас например он ведётся в корневом центре, а виртуалка с корнем выключена и хард от неё лежит на внешнем накопителе в сейфе, а Sub от корневого уже непосредственно обрабатывает запросы<br> https://ns.opennet.ru/openforum/vsluhforumID1/96693.html#2 Tue, 04 Oct 2016 13:10:36 GMT &gt; Не знаю, можно ли в vSphere создавать запрос на сертификат, если можно, <br>&gt; то можно попробовать сгенерировать сертификат командой certreq -submit -attrib &#8220;CertificateTemplate:WebServer&#8221; <br>&gt; RequestFileName.ext.<br>&gt; Мы так для аутентификации пользователей в вебморде Керио делали.<br><br>Спасибо. Попробовал. В сгенерированном сертификате появился атрибут "Certificate template name" содержащий значение WebServer. Но срок действия сертификата по-прежнему один год, хотя в шаблоне задано два года. Но черт с ним со сроком сертификата, похоже и другие атрибуты шаблона не учитываются.<br>В vSphere можно создавать запрос на сертификат. И у vmware инструмент специальный для этого есть (фактически это bat-ник, который использует openssl). И вот мне непонятно, если запрос на сертификат (сгенерированный инструментом vmware) содержит все необходимые свойства, то зачем вообще нужен шаблон? <br>Ведь по идее имея созданный запрос на сертификат подписать можно и с использованием openssl (вместо Microsoft ADCS)? Или нет?<br> https://ns.opennet.ru/openforum/vsluhforumID1/96693.html#1 Mon, 03 Oct 2016 11:15:13 GMT Не знаю, можно ли в vSphere создавать запрос на сертификат, если можно, то можно попробовать сгенерировать сертификат командой certreq -submit -attrib &#8220;CertificateTemplate:WebServer&#8221; RequestFileName.ext. <br>Мы так для аутентификации пользователей в вебморде Керио делали.<br>