Здравствуйте.

Вопрос:
а может кто-нибудь скинуть ссылку на пример с описанием создания self-signed сертификатов для vSphere 5.5 БЕЗ использования Microsoft Active Directory Certificate Services? (Или, как вариант, с использованием Microsoft Active Directory Certificate Services в режиме Standalone, без использования Certificate Templates)?

Во всех статьях до которых смог дотянуться (и на kb.vmware.com и на других ресурсах), описывающих генерацию self-signed сертификаторв для служб vSphere используется Microsoft Active Directory Certificate Services. (Расписывается что надо в ADCS созать шаблон, сделав копию с стандартного "Web Server", а затем в этом шаблоне установить свойства, и уже этот шаблон использовать для генерации сертификата.)

В серии статей http://www.wooditwork.com/2011/11/30/vsphere-5-certificates-.../ вроде бы пример, в котором используется Microsoft ADCS без шаблонов. Но мне не понятно следующее, все статьи из kb.vmware.com предписывают:
1) создать signed certificate request (csr);
2) создать template, установить в нём нужные свойства, и уже с помощью этого template и csr cгенерировать сертификат.
А что будет если создав csr я сгенерирую сетрификат без использования шаблона? У него нужных свойств не будет? А почему бы нужные свойства не задать в csr? Или какие-то свойства нельзя в csr задать?

• создание self-sgned сертификатов для vsphere без Microsoft CA,cat84, 14:15 , 03-Окт-16
  • создание self-sgned сертификатов для vsphere без Microsoft CA,LamerDrv, 16:10 , 04-Окт-16
    • создание self-sgned сертификатов для vsphere без Microsoft CA,cat84, 08:44 , 05-Окт-16

Не знаю, можно ли в vSphere создавать запрос на сертификат, если можно, то можно попробовать сгенерировать сертификат командой certreq -submit -attrib “CertificateTemplate:WebServer” RequestFileName.ext.
Мы так для аутентификации пользователей в вебморде Керио делали.

> Не знаю, можно ли в vSphere создавать запрос на сертификат, если можно,
> то можно попробовать сгенерировать сертификат командой certreq -submit -attrib “CertificateTemplate:WebServer”
> RequestFileName.ext.
> Мы так для аутентификации пользователей в вебморде Керио делали.

Спасибо. Попробовал. В сгенерированном сертификате появился атрибут "Certificate template name" содержащий значение WebServer. Но срок действия сертификата по-прежнему один год, хотя в шаблоне задано два года. Но черт с ним со сроком сертификата, похоже и другие атрибуты шаблона не учитываются.
В vSphere можно создавать запрос на сертификат. И у vmware инструмент специальный для этого есть (фактически это bat-ник, который использует openssl). И вот мне непонятно, если запрос на сертификат (сгенерированный инструментом vmware) содержит все необходимые свойства, то зачем вообще нужен шаблон?
Ведь по идее имея созданный запрос на сертификат подписать можно и с использованием openssl (вместо Microsoft ADCS)? Или нет?

> Ведь по идее имея созданный запрос на сертификат подписать можно и с
> использованием openssl (вместо Microsoft ADCS)? Или нет?

Честно говоря, не знаю. Мы пользовались MS ADCS только из-за того, что у нас оно активно используется в связке с другим ПО. И сам я смутно понимаю, как ADCS работает, единственное, что пока что успел понять, что надо надёжно хранить список отозванных сертификатов. У нас например он ведётся в корневом центре, а виртуалка с корнем выключена и хард от неё лежит на внешнем накопителе в сейфе, а Sub от корневого уже непосредственно обрабатывает запросы