Afin de résoudre le problème Heartbleed lié à OpenSSL, VMware a sorti deux nouvelles versions de vCenter : la 5.5.0c et la 5.5 U1a.

Pour résoudre le problème :

– Si vous êtes en version 5.5, 5.5.0a ou 5.5.0b, il vous faut passer vers la version 5.5.0c. Vous pouvez dans le même temps profitez de passer à la version 5.5.0c pour passer ensuite vers la version 5.5.1a.

– Si vous êtes en version 5.5 U1, il vous faut passer en version 5.5.1a.

Récupérez les ISO sur le site VMware.

Lancez l’ISO. Vous devez installé chaque composant de façon indépendante et dans l’ordre suivant :

– SSO

– Client Web vSphere

– vCenter Invetory Service

– vCenter Server

heartbleedvc01

Commençons par sélectionner le SSO et cliquez sur Installer. Cliquez ensuite sur Suivant. Un message indique qu’une version antérieure est présente sur le serveur et qu’elle sera mise à jour. Ce message apparaîtra pour chacun des composants. Cliquez sur Suivant :

heartbleedvc02

Acceptez les termes du contrat de licence puis lancez l’installation.

 heartbleedvc03

Installer ensuite le client Web vSphere. Ici encore un message indique qu’une version antérieure est présente sur le serveur et qu’elle sera mise à jour.

Installez ensuite le vCenter Inventory Service, ici encore un message indique qu’une version antérieure est présente sur le serveur et qu’elle sera mise à jour. Puis enfin le vCenter Server, là encore un message. Lancez l’installation.

heartbleedvc04

A la fin de l’installation, lancez votre vCenter et vérifiez la build de votre vCenter :

 heartbleedvc05

 

Si vous avez mis votre vCenter à jour en 5.5.0c la build sera 1750596

Si vous avez mis votre vCenter à jour en 5.5 U1a la build sera 1750787

Pour compléter l’installation, n’oubliez pas de mettre à jour le plug-in pour la Web Client. 

Il vous faut également générer de nouveaux certificats sur le serveur SSO et changer le password SSO.

Générer les nouveaux certificats :

Sauvegarder les fichiers vmdircert.pem et vmdirkey se trouvant dans C:\ProgramData\VMware\CIS\cfg\vmdird

Copier le fichier vmdircert.pem et sauvegarder le sous le nom vmdircert.crt. Double cliquez sur vmdircert.crt et allez dans l’onglet détails. Aller sur la ligne Subject Alternative Name et notez le nom DNS et l’adresse IP.

Créer un répertoire temporaire dans c:\ par exemple c:\temp-ssl

Depuis une invite de commande, générez un nouveau certificat avec la commande suivante :

“C:\Program Files\VMware\Infrastructure\VMware\CIS\vmcad\certool.exe” –genkey –priv=priv.key –pub=pub.key

Pour générer un nouveau certificat, utilisez le nom DNS et l’adresse IP et lancez la commande suivante :

“C:\Program Files\VMware\Infrastructure\VMware\CIS\vmcad\certool.exe” –genCIScert –priv=priv.key –Name=VMWareDirectoryService –FQDN=FQDN_DNS_NAME –IP=IP_address –cert=cert.crt –port=11711

Copiez la nouvelle clé privée dans le dossier sur le serveur SSO :

copy priv.key C:\ProgramData\VMware\CIS\cfg\vmdird\vmdirkey.pem

Copiez le nouveau certificat dans le bon dossier sur le serveur SSO :

copy cert.crt C:\ProgramData\VMware\CIS\cfg\vmdird\vmdircert.pem

Redémarrer le service VMware Directory sur le serveur SSO.

Afin de sécurisé le web client, lors de la connexion sur l’URL,vous verrez apparaître le message suivant en bas à gauche : Upgrade the client integration plug-in.

heartbleedvc06

Cliquez dessus et installer.

Changer le mot de passe SSO :

Changer le password du compte administrator@vsphere.local.

Se loguer avec le login / mot de passe SSO via la web client. Allez dans le menu Administration > Single Sign On > Users and Groups. Faites un clic droit sur l’utilisateur et Edit User. Sélectionnez Change Password et changer le password.

Share