Monat: März 2015

vSphere 6 – Zertifikat austauschen

von

Mit vSphere 6 bietet vMware eine eigene Zertifikatsstelle (vmcad) für seine Produkte an. Wer aber dennoch lieber eigene Zertifikate verwenden möchte kann dies natürlich auch weiterhin tun.
Zertifikat Request erstellen:

C:\Program Files\VMware\vCenter Server\vmcad>certificate-manager
_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
| |
| *** Welcome to the vSphere 6.0 Certificate Manager *** |
| |
| -- Select Operation -- |
| |
| 1. Replace Machine SSL certificate with Custom Certificate |
| |
| 2. Replace VMCA Root certificate with Custom Signing |
| Certificate and replace all Certificates |
| |
| 3. Replace Machine SSL certificate with VMCA Certificate |
| |
| 4. Regenerate a new VMCA Root Certificate and |
| replace all certificates |
| |
| 5. Replace Solution user certificates with |
| Custom Certificate |
| |
| 6. Replace Solution user certificates with VMCA certificates |
| |
| 7. Revert last performed operation by re-publishing old |
| certificates |
| |
| 8. Reset all Certificates |
|_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _|
Note : Use Ctrl-Z and hit Enter to exit.
Option[1 to 8]: 1
Please provide valid SSO password to perform certificate operations.
Password:
1. Generate Certificate Signing Request(s) and Key(s) for Machine SSL certificate
2. Import custom certificate(s) and key(s) to replace existing Machine SSL certificate
Option [1 or 2]: 1
Please provide a directory location to write the CSR(s) and PrivateKey(s) to:
Output directory path: c:\tmp\6
2015-03-22T14:25:31.824Z Running command: ['C:\\Program Files\\VMware\\vCenter Server\\vmcad\\certool.exe', '--genkey', '--privkey', 'c:\\tmp\\6\\machine_ssl.key', '--pubkey', 'c:\\users\\admin\\appdata\\local\\temp\\2\\pubkey.pub']
2015-03-22T14:25:32.064Z Done running command
2015-03-22T14:25:32.067Z Running command: ['C:\\Program Files\\VMware\\vCenter Server\\vmcad\\certool.exe', '--gencsrfromcert', '--privkey', 'c:\\tmp\\6\\machine_ssl.key', '--cert', 'c:\\users\\admin\\appdata\\local\\temp\\2\\vecs_crt.crt', '--csrfile', 'c:\\tmp\\6\\machine_ssl.csr']
2015-03-22T14:25:32.116Z Done running command
CSR generated at: c:\tmp\6\machine_ssl.csr

Anschließend diesen Request von seiner Zertifikatsstelle signieren und das Zertifikat im Base64 Format wieder auf dem Server zur Verfügung stellen.
Dann kann dieses jetzt importiert werden:

1. Continue to importing Custom certificate(s) and key(s) for Machine SSL certificate
2. Exit certificate-manager
Option [1 or 2]: 1
Please provide valid custom certificate for Machine SSL.
File : c:\tmp\6\machine_ssl.cer
Please provide valid custom key for Machine SSL.
File : c:\tmp\6\machine_ssl.key
Please provide the signing certificate of the Machine SSL certificate
File : c:\tmp\6\root-base64.cer
You are going to replace Machine SSL cert using custom cert
Continue operation : Option[Y/N] ? : y
Status : 100% Completed [All tasks completed successfully]

Alternativ kann man auch mit Hilfe des Windos-Zertifikatsdienst ein Zertifikat anfordern, austellen lassen und exportieren:


Das Zertifikat als .pfx (mit Private Key’s) exportieren und anschließend per OpenSSL für vMware konvertieren.
Key exportieren:

openssl pkcs12 -in 123.pfx -nocerts -out key.pem -nodes
Enter Import Password:
MAC verified OK

Zertifikat exportieren:

openssl pkcs12 -in 123.pfx -nokeys -out cert.pem
Enter Import Password:
MAC verified OK

Passwort vom Key entfernen:

openssl rsa -in key.pem -out server.key
writing RSA key

Die beiden Dateien (cert.pem & server.key) könnt ihr anschließend über den Certificate-Manager importieren.

vSphere 6 Upgrade – Troubleshooting

von

Seit Mitte des Monats hat vMware vSphere 6 veröffentlicht, mit ein paar neuen Rundum Erneuerungen.
Auf die Details gehe ich jetzt mal nicht ein, gibt schon genügend seiten die ein What’s New veröffentlichten.
Ein paar Neuerungen die beim Upgrade zu Problemen führen könnten:

  1. Wenn der vMware Update Manager auf der selben Maschine wie der vCenter Server installiert ist, benötigt die VM mindestens 8GB Ram. Dokumentation
  2. Externe Datenbanken müssen kompatibel sein. Compatibility Matrix img_015
  3. Die Datenbank muss vor dem Upgrade manuell präpariert werden. Siehe Dokumentation
  4. Bei nicht Verwendung der neuen vMware self-signing CA, unterstützt eure CA die aktuellen Hash-Algorithmen SHA254,SHA512 usw.. ? SHA1 Zertifikate werden bald nicht mehr unterstützt.

Solltet ihr während des Upgrade Checks auf folgenden Fehler stoßen:

ERROR: Incompatible MSSQL version with vCenter Server 6.0

kann dies mehrere Ursachen haben:
1. Datenbankversion prüfen

 (SELECT CAST(SERVERPROPERTY('ProductVersion') AS varchar(30)) ProductVersion,CAST(SERVERPROPERTY('Edition') AS varchar(30)) Edition)
ProductVersion Edition
10.50.4000.0 Standard Edition (64-bit)

2. Datenbank mit dem SQL Skript vorbereitet ?
3. Datenbank Compatibility Level auf „SQL Server 2008“ (100) gestellt ?

SELECT SUM(COALESCE(server_version, 0)) as server_version FROM ( SELECT CAST(1 AS INT) as server_version FROM ( SELECT CAST(SERVERPROPERTY('ProductVersion') AS varchar(30)) ProductVersion, CAST(SERVERPROPERTY('Edition') AS varchar(30)) Edition ) db_serv WHERE REPLACE(ProductVersion, '.0.', '.00.') < (CASE WHEN ProductVersion LIKE '12.%' THEN '12.00.2000' WHEN ProductVersion LIKE '10.%' THEN '10.50.2500' ELSE '11.00.2100.60' END) OR (Edition NOT LIKE 'Standard%' AND Edition NOT LIKE 'Enterprise%' AND Edition NOT LIKE 'Express%' AND Edition NOT LIKE 'Datacenter%') UNION ALL SELECT CAST(2 AS INT) as server_version FROM sys.databases WHERE name = db_name() AND compatibility_level < 100 ) AS tbl_check
server_version
NULL

Beim Upgrade von Hosts mit NVIDIA Grid Karten und bereits eingebundenen Treiber, muss dieser vor dem Upgrade auf ESXi 6 vorher deinstalliert werden.
Dies geht wie folgt:
– Alle Virtuellen Maschinen mit 3D Beschleunigung herunterfahren
– ESXi in Maintenance Mode versetzen
– per SSH, oder Konsole verbinden
– Xserver stoppen:

~ # /etc/init.d/xorg stop
watchdog-Xorg0: Terminating watchdog process with PID 35609
watchdog-Xorg1: Terminating watchdog process with PID 35784
watchdog-Xorg2: Terminating watchdog process with PID 35980
watchdog-Xorg3: Terminating watchdog process with PID 36146
Process 36169 stopped
Process 36003 stopped
Process 35807 stopped
Process 35632 stopped

– Kernelmodul entladen:

~ # vmkload_mod -u nvidia
Module nvidia successfully unloaded

Vib File deinstallieren:

~ # esxcli software vib remove --vibname=NVIDIA-VMware_ESXi_5.5_Host_Driver
Removal Result
Message: Operation finished successfully.
Reboot Required: false
VIBs Installed:
VIBs Removed: NVIDIA_bootbank_NVIDIA-VMware_ESXi_5.5_Host_Driver_340.32-1OEM.550.0.0.1331820
VIBs Skipped:

Stoppt man die Prozesse nicht korrekt bekommt mein beim Deinstallieren des vib File folgenden Fehler:

[InstallationError]
Error in running rm /tardisks/NVIDIA_V.v00:
Return code: 1
Output: rm: can't remove '/tardisks/NVIDIA_V.v00': Device or resource busy

Office 2010/2013/2016 – Word/Excel – persönliche Vorlagen anzeigen

von

img_008In Word 2013 wurde die Anzeige für die Erstellung von neuen Dokumenten erneuert, sodass man jetzt bei „Neu“ standardmäßig direkt Empfohlene Vorlagen von Microsoft findet.
Im Unternehmen möchte man aber vermutlich hier seine eigenen Vorlagen per Default anzeigen, das geht per Registry Einstellung oder Gruppenrichtlinie relativ einfach.
Als erstes prüft, ob der „Standardspeicherort für persönliche Vorlagen“ auch korrekt gesetzt ist. (Datei -> Optionen -> Erweitert)
Diesen Wert kann man natürlich auch per Gruppenrichtlinie setzten. Dort gibt es auch eine Einstellung  (Userteil)“Workgroup templates path“ unter „Microsoft Office 201x -> Shared paths“ womit man einen zusätzlichen Speicherort angeben kann, ohne den Pfad der direkten Uservorlagen ändern zu müssen.

Registrierungspfad der Gruppenrichtlinie:
HKEY_CURRENT_USER\software\policies\microsoft\office\15.0\%WORD,Excel, usw..%\options\general!officestartdefaulttab

In der Praxis also ungefähr so:

Word:
HKEY_CURRENT_USER\Software\Microsoft\office\15.0\word\options
DWORD: officestartdefaulttab
Value: 1
Excel:
HKEY_CURRENT_USER\Software\Microsoft\office\15.0\excel\options
DWORD: officestartdefaulttab
Value: 1

Im Gegenzug findet man die gleichwertige Gruppenrichtlinie unter:
User Configuration -> Policies -> Administrative Templates -> Microsoft Word 2013 (oder anderes Produkt) -> Miscellaneous -> Show custom templates tab by default in Word on the Office
img_012img_011
Dass man dafür die Office 2013 ADMX Templates installiert haben muss ist denke ich klar, sonst sieht man den Punkt nicht 😉 (via)
Update (11.05.2017): Das gleiche funktioniert auch bei Office 2016. Hier braucht ihr dann die passenden Office 2016 ADMX Templates – die Namen und Beschreibungen sind aber alle identisch geblieben.
Alle Werte finden sich in der Registry unter der Ebene: HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\office\16.0

Ubuntu – selbstsigniertes Zertifikat in Zertifikatsspeicher hinzufügen

von

Manche Webseiten benutzen in Zeiten von StartSSL noch selbstsignierte Zertifikate. Jetzt kann es sein, dass Anwendungen nicht korrekt laufen, sofern der HTTPS-Verbindung nicht vertraut wird.
Ich beschreibe hier kurz wie man dem Zertifikat dennoch vertrauen kann, indem man es in den Zertifikatsspeicher von Ubuntu hinzufügt.

cd /tmp
openssl s_client -showcerts -connect dieUrlmitSelbstSigniertemZertifikat.de:443 /dev/null|openssl x509 -outform PEM >th.crt
cp th.crt /usr/local/share/ca-certificates/th.crt
root@ns346469:/tmp# update-ca-certificates
Updating certificates in /etc/ssl/certs... 1 added, 0 removed; done.
Running hooks in /etc/ca-certificates/update.d....done.