Um ein vertrauenswürdiges, von einer Zertifizierungsstelle signiertes TLS/SSL-Serverzertifikat in der Access Point-Appliance zu speichern, müssen Sie das Zertifikat in das erforderliche Format konvertieren und mit PowerShell-Skripts oder mit der Access Point-REST-API konfigurieren.

Warum und wann dieser Vorgang ausgeführt wird

Für Produktionsumgebungen empfiehlt VMware ausdrücklich, das Standardzertifikat so schnell wie möglich zu ersetzen. Das Standard-TLS/SSL-Serverzertifikat, das bei der Bereitstellung einer Access Point-Appliance generiert wird, ist nicht von einer vertrauenswürdigen Zertifizierungsstelle signiert.

Wichtig:

Mit dieser Vorgehensweise können Sie auch regelmäßig ein Zertifikat ersetzen, das von einer vertrauenswürdigen Zertifizierungsstelle signiert wurde, bevor das Zertifikat abläuft (meist alle zwei Jahre).

Diese Vorgehensweise beschreibt, wie mit der REST-API das Zertifikat ersetzt wird. Eine einfachere Alternative ist eventuell die Verwendung der PowerShell-Skripts, die dem unter https://communities.vmware.com/docs/DOC-30835 verfügbaren Blog-Beitrag „Using PowerShell to Deploy VMware Access Point“ (Verwenden von PowerShell zur Bereitstellung von VMware Access Point) angehängt ist. Wenn Sie die benannte Access Point-Appliance bereits bereitgestellt haben, wird durch erneute Ausführung des Skripts die Appliance ausgeschaltet, gelöscht und mit den von Ihnen angegebenen aktuellen Einstellungen erneut bereitgestellt.

Voraussetzungen

  • Sofern Sie nicht bereits über ein gültiges TLS/SSL-Serverzertifikat und dessen privaten Schlüssel verfügen, verwenden Sie ein neu signiertes Zertifikat der Zertifizierungsstelle. Wenn Sie eine Zertifikatsignieranforderung (CSR, Certificate Signing Request) für ein Zertifikat generieren, müssen Sie sicherstellen, dass auch ein privater Schlüssel generiert wird. Erstellen Sie keine Zertifikate für Server mithilfe eines KeyLength-Wertes unter 1024.

    Um die CSR zu generieren, müssen Sie über den vollqualifizierten Domänennamen (FQDN) verfügen, mit dem Clientgeräte eine Verbindung zur Access Point-Appliance und zur organisatorischen Einheit, zur Organisation, zur Stadt, zum Bundesland und zum Land für die Vervollständigung des Antragstellernamens herstellen.

  • Konvertieren Sie das Zertifikat in PEM-Dateien und diese .pem-Dateien dann in ein einzeiliges Format. Siehe Konvertieren von Zertifikatdateien in das einzeilige PEM-Format.

  • Machen Sie sich mit der Access Point-REST-API vertraut. Die Spezifikation für diese API ist über die folgende URL auf der virtuellen Maschine verfügbar, auf der Access Point installiert ist: https://access-point-appliance.example.com:9443/rest/swagger.yaml.

Prozedur

  1. Erstellen Sie eine JSON-Anfrage für die Weitergabe des Zertifikats an die Access Point-Appliance.
    {
      "privateKeyPem": "Zeichenfolge",
      "certChainPem": "Zeichenfolge"
    }

    In diesem Beispiel stellen die Zeichenfolge-Werte die einzeiligen JSON-PEM-Werte dar, die Sie wie in den Voraussetzungen beschrieben erstellt haben.

  2. Verwenden Sie für die JSON-Anfrage einen REST-Client wie curl oder postman, um die Access Point-REST-API aufzurufen und das Zertifikat sowie den Schlüssel in der Access Point-Appliance zu speichern.

    Das folgende Beispiel verwendet einen curl-Befehl. In diesem Beispiel ist access-point-appliance.example.com der vollqualifizierte Domänenname (FQDN) der Access Point-Appliance und cert.json die im vorherigen Schritt erstellte JSON-Anfrage.

    curl -k -d @- -u 'admin' -H "Content-Type: application/json" -X PUT https://access-point-appliance.example.com:9443/rest/v1/config/certs/ssl < ~/cert.json

Nächste Maßnahme

Wenn die Zertifizierungsstelle, die das Zertifikat erstellt hat, nicht bekannt ist, konfigurieren Sie Clients so, dass sie dem Stammzertifikat und den Zwischenzertifikaten vertrauen.