Da Sie ESXi-Host-Zertifikate in SDDC Manager nicht ersetzen können, führen Sie diesen Vorgang manuell auf jedem ESXi-Host oder automatisiert in einer Arbeitslastdomäne mithilfe von Windows PowerShell-Befehlen durch.

SDDC Manager verwaltet keine Zertifikate für ESXi-Hosts. Stattdessen stattet die VMware-Zertifizierungsstelle (VMCA) auf vCenter Server jeden neuen ESXi-Host mit einem signierten Zertifikat aus, wobei VMCA standardmäßig die Stammzertifizierungsstelle (CA) ist. Um die Richtlinien Ihrer Organisation einzuhalten, müssen Sie das Zertifikat des Hosts manuell ersetzen.

Sie können Hostzertifikate Schritt für Schritt über die Produktbenutzeroberfläche oder automatisiert als codebasierte Alternative zu bestimmten Verfahren der Benutzeroberfläche ersetzen, indem Sie die Cmdlets im VMware.CloudFoundation.CertificateManagement-Modul in der PowerShell-Galerie aufrufen.

Wenn Sie die Dokumentation lesen, Feedback geben, ein Problem mit der Automatisierung melden oder zum Modul VMware.CloudFoundation.CertificateManagement beitragen möchten, navigieren Sie zum Open Source-VMware.CloudFoundation.CertificateManagement-Projekt in GitHub.

Inhaltsumfang

Die Anleitungen zur Verwaltung von ESXi-Zertifikaten in diesem Abschnitt behandeln die folgenden Szenarien:

  • Ersetzen eines von VMCA signierten ESXi-Hostzertifikats durch ein von einer externen Zertifizierungsstelle signiertes Zertifikat in einer bereits bereitgestellten SDDC-Arbeitslastdomäne.

  • Ersetzen eines von einer externen Zertifizierungsstelle signierten ESXi-Hostzertifikats durch ein anderes von einer externen Zertifizierungsstelle signiertes Zertifikat in einer bereits bereitgestellten SDDC-Arbeitslastdomäne.

Voraussetzungen

Vergewissern Sie sich, dass Ihr System die folgenden Voraussetzungen erfüllt, um die Konfiguration im Rahmen der ESXi-Zertifikatsverwaltung durchzuführen.

Kategorie

Voraussetzung

Umgebung

 Stellen Sie sicher, dass Ihre VMware Cloud Foundation-Instanz fehlerfrei und vollständig betriebsbereit ist.
Infrastructure-as-Code

Um die Infrastructure-as-Code-Methode für die Verwaltung von ESXi-Hostzertifikaten zu verwenden, müssen Sie sicherstellen, dass Ihr System die Voraussetzungen erfüllt, die in der Dokumentation des Open Source-VMware.CloudFoundation.CertificateManagement-Projekt in GitHub beschrieben sind.

Ändern des Zertifikatmodus in „Benutzerdefiniert“ für die ESXi-Hosts in einer Arbeitslastdomäne

Sie können den Zertifikatmodus für die Hosts in einer Arbeitslastdomäne in VMware Cloud Foundation in „Benutzerdefiniert“ ändern, sodass VMCA die ESXi-Hosts nicht mehr automatisch mit VMCA-Zertifikaten bereitstellt.

Voraussetzungen

  • Der VI-Arbeitslastdomänen-vCenter Server muss sich in einem geplanten Wartungsfenster befinden. Zum Abschließen des Vorgangs müssen Sie den vCenter Server-Dienst neu starten.

Verfahren der Benutzeroberfläche

  1. Melden Sie sich beim Arbeitslastdomänen-vCenter Server, der die Zielhosts unter https://<vcenter-server_fqdn>/ui verwaltet, als [email protected] an.

  2. Ändern Sie den Zertifikatmodus für die verwalteten ESXi-Hosts.

    • Wählen Sie in der Bestandsliste Hosts und Cluster die vCenter Server-Instanz aus.

    • Klicken Sie auf der Registerkarte Konfigurieren unter Einstellungen auf Erweiterte Einstellungen und dann auf Einstellungen bearbeiten.

    • Geben Sie im Filter-Textfeld Name Folgendes ein: vpxd.certmgmt.mode.

    • Ändern Sie den Wert von vpxd.certmgmt.mode in Benutzerdefiniert und klicken Sie auf Speichern.

  3. Starten Sie die vCenter Server-Instanz neu, um die Änderungen zu übernehmen.

    1. Wählen Sie im Menü des vSphere Client die Option Verwaltung aus.

    2. Wählen Sie im Abschnitt Bereitstellung die Option Systemkonfiguration aus.

    3. Wählen Sie die vCenter Server-Instanz in der Liste aus und klicken Sie auf Knoten neu starten.

    4. Geben Sie ESXi-Zertifikatmodus in benutzerdefinierten CA-Modus ändern. als Grund für den Neustart ein und klicken Sie auf Neu starten.

  4. Stellen Sie sicher, dass die vCenter Server-Instanz erfolgreich neu gestartet wurde und Sie sich beim vSphere Client anmelden können.

  5. Bestätigen Sie den vSphere vCenter Host Certificate Management Mode-Alarm.

  6. Überprüfen Sie im vSphere Client, dass der Wert der Eigenschaft vpxd.certmgmt.mode für den Arbeitslastdomänen-vCenter Server custom ist.

PowerShell-Verfahren

  1. Starten Sie Windows PowerShell.

  2. Ersetzen Sie die Werte im Beispielcode und führen Sie die Befehle in der PowerShell-Konsole aus.

    $sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io" 
$sddcManagerUser = "[email protected]" 
$sddcManagerPass = "VMw@re1!"
$workloadDomain = "sfo-m01"
$mode = "custom"

  3. Legen Sie den ESXi-Zertifikatmodus auf custom fest, indem Sie den folgenden Befehl in der PowerShell-Konsole ausführen.

    Set-EsxiCertificateMode -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $workloadDomain -mode $mode

  4. Starten Sie die vCenter Server-Instanz manuell neu, um die Änderungen gemäß der Beschreibung im benutzeroberflächengestützten Verfahren anzuwenden.

  5. Rufen Sie den auf benutzerdefiniert festgelegten ESXi-Zertifikatmodus mit dem folgenden Befehl ab und überprüfen Sie ihn.

    Get-EsxiCertificateMode -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $workloadDomain

Generieren einer Zertifikatsignieranforderung für die ESXi-Hosts in einer Arbeitslastdomäne

Bei Verwendung der ESXi Shell generieren Sie CSR-Dateien (Zertifikatsignieranforderung, Certificate Signing Request) für jeden ESXi-Host in der Arbeitslastdomäne. Sie können die CSR-Dateien an eine Drittanbieter-Zertifizierungsstelle senden und von einer Zertifizierungsstelle signierte Zertifikate für die Hosts empfangen.

Die Zertifikatskette der Zertifizierungsstelle des Drittanbieters muss im Trust Store von SDDC Manager und des Arbeitslastdomänen-vCenter Server vorhanden sein.

Verfahren der Benutzeroberfläche

  1. Melden Sie sich über die DCUI oder über einen SSH-Client bei der ESXi Shell als Benutzer mit Administratorrechten an.

  2. Erstellen Sie im Verzeichnis /etc/vmware/ssl mit dem folgenden Befehl eine Datei.

    vi ESXi.cfg

  3. Platzieren Sie den folgenden Inhalt in der Datei ESXi.cfg.

    [ req ]
days = certificate-expiration-period (730)
default_md = sha512
default_bits = 2048
distinguished_name = req_distinguished_name
prompt = no
[ req_distinguished_name ]
commonName = esxi-fqdn
countryName = your-country
stateOrProvinceName = your-state
localityName = your-locality
0.organizationName = your-organization
organizationalUnitName = your-unit

  4. Führen Sie den folgenden Befehl aus, um einen privaten Schlüssel und eine CSR-Datei zu generieren und die Werte im Beispielbefehl zu ersetzen.

    openssl req -new -nodes -out esxi-fqdn.csr -keyout esxi-fqdn.key -config ESXi.cfg

  5. Exportieren Sie die Datei esxi-hostname.csr und optional esxi-hostname.key mit einem SCP-Dienstprogramm wie WinSCP vom ESXi-Host.

  6. Wiederholen Sie die Schritte für die verbleibenden ESXi-Hosts in der Arbeitslastdomäne.

PowerShell-Verfahren

  1. Starten Sie Windows PowerShell.

  2. Ersetzen Sie die Werte im Beispielcode und führen Sie die Befehle in der PowerShell-Konsole aus.

    $sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io" 
$sddcManagerUser = "[email protected]" 
$sddcManagerPass = "VMw@re1!"
$workloadDomain = "sfo-m01"
$cluster = "sfo-m01-cl01"
$country = "US"
$locality = "San Francisco"
$organization = "Rainpole"
$organizationUnit = "IT"
$stateOrProvince = "California"
$outputDirectory = "F:\CSR\"

  3. Führen Sie die Konfiguration durch, indem Sie den folgenden Befehl in der PowerShell-Konsole eingeben.

    Request-VCFCsr -esxi -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $workloadDomain -cluster $cluster -Country $country -Locality $locality -Organization $organization -OrganizationUnit $organizationUnit -StateOrProvince $stateOrProvince -outputDirectory $outputDirectory

  4. Wiederholen Sie die Schritte für jeden Cluster in der Arbeitslastdomäne.

Nächste Schritte

Senden Sie die CSR-Dateien an die Drittanbieter-Zertifizierungsstelle, um die von der Zertifizierungsstelle signierten Hostzertifikate zu erhalten.

Überprüfen, ob die Zertifizierungsstelle von vCenter Server und SDDC Manager als vertrauenswürdig eingestuft wird

Um eine vertrauenswürdige Kommunikation zu ermöglichen, muss sich die Zertifizierungsstelle, die die Zertifikate der ESXi-Hosts signiert hat, im Trust Store des Arbeitslastdomänen-vCenter Server und von SDDC Manager befinden.

Verfahren der Benutzeroberfläche

  1. Stellen Sie sicher, dass sich das Zertifikat der Zertifizierungsstelle im Trust Store von SDDC Manager befindet.

    1. Melden Sie sich bei SDDC Manager unter https://<sddc_manager_fqdn> mit einem Benutzer an, dem die Admin-Rolle zugewiesen ist.
    2. Klicken Sie im Navigationsbereich auf Bestandsliste > Arbeitslastdomänen.

    3. Klicken Sie auf der Seite Arbeitslastdomänen auf die Zielarbeitslastdomäne.

    4. Klicken Sie auf der Übersichtsseite der Arbeitslastdomäne auf die Registerkarte Zertifikate.

    5. Überprüfen Sie, ob der Zertifikataussteller für den Ressourcentyp vcenter mit dem Aussteller der von der Zertifizierungsstelle signierten Hostzertifikats identisch ist.

  2. Überprüfen Sie, ob sich das Zertifikat der Zertifizierungsstelle im Trust Store des Arbeitslastdomänen-vCenter Server befindet.

    1. Melden Sie sich bei vCenter Server unter https://<vcenter_server_fqdn>/ui als [email protected] an.

    2. Wählen Sie im Menü des vSphere Client die Option Verwaltung aus.

    3. Wählen Sie unter Zertifikate die Option Zertifikatsverwaltung aus.

    4. Wählen Sie oben rechts die vCenter Server-Instanz aus dem Dropdown-Menü aus.

    5. Überprüfen Sie, ob der Speicher für Vertrauenswürdige Root-Zertifikate das Zertifikat der Zertifizierungsstelle mit demselben Namen wie die Hostzertifikate enthält.

    6. Überprüfen Sie, ob der Betreff und Seriennummer mit denen im Ausstellerteil der signierten Hostzertifikate identisch sind.

PowerShell-Verfahren

  1. Starten Sie Windows PowerShell.

  2. Ersetzen Sie die Werte im Beispielcode und führen Sie die Befehle in der PowerShell-Konsole aus.

    $sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io"
$sddcManagerUser = "[email protected]"
$sddcManagerPass = "VMw@re1!"
$workloadDomain = "sfo-m01"
$rootCertificate = "F:\Certificate\rainpoleRoot64.cer"
$issuer = "rainpole"

  3. Überprüfen Sie mit dem folgenden Befehl, ob dem Zertifikat der Zertifizierungsstelle vertraut wird.

    Confirm-CAInvCenterServer -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $workloadDomain -issuer $issuer -signedCertificate $rootCertificate

  4. Überprüfen Sie, ob die Befehlsausgabe true zurückgibt.

Ersetzen der ESXi-Hostzertifikate durch ein von einer Zertifizierungsstelle signiertes Zertifikat in einer Arbeitslastdomäne

Ersetzen Sie jedes ESXi-Hostzertifikat durch ein von einer Zertifizierungsstelle erhaltenes CA-signiertes Zertifikat, um die Sicherheitsanforderungen Ihrer Organisation zu erfüllen.

Hinweis:

Führen Sie die Ersetzung der Hostzertifikate in der Arbeitslastdomäne in einem geplanten Wartungsfenster durch. Der Vorgang nimmt mehr Zeit in Anspruch, als im regulären Betrieb üblicherweise dafür vorgesehen ist.

Verfahren der Benutzeroberfläche

  1. Melden Sie sich beim Arbeitslastdomänen-vCenter Server, der die Zielhosts unter https://<vcenter-server_fqdn>/ui verwaltet, als [email protected] an.

  2. Wenn Sie vSAN als Prinzipalspeicher verwenden, überprüfen Sie die vSAN Integrität.

    1. Wählen Sie in der Bestandsliste Hosts und Cluster den Cluster aus, der die ESXi-Hosts enthält, und klicken Sie auf die Registerkarte Überwachen.

    2. Klicken Sie im linken Bereich unter vSAN > Skyline Health auf Erneut testen und bestätigen Sie den Vorgang.

    3. Überprüfen Sie, ob im Bereich Übersicht keine roten Warnungen angezeigt werden.

    4. Überprüfen Sie im linken Bereich unter vSAN > Neusynchronisieren von Objekten, ob alle Synchronisierungsaufgaben abgeschlossen sind.

  3. Versetzen Sie den ESXi-Host in den Wartungsmodus.

    1. Erweitern Sie in der Bestandsliste Hosts und Cluster den Arbeitslastdomänen-vCenter Server und navigieren Sie zum ersten ESXi-Host im ersten Cluster.

    2. Klicken Sie mit der rechten Maustaste auf den ESXi-Host und wählen Sie Wartungsmodus > In den Wartungsmodus wechseln aus.

    3. Wählen Sie im Dialogfeld In den Wartungsmodus wechseln im Dropdown-Menü vSAN-Datenmigration die Option Vollständige Datenmigration aus und klicken Sie auf OK.

  4. Deaktivieren Sie den ESXi-Sperrmodus.

    1. Klicken Sie auf die Registerkarte Konfigurieren für den ESXi-Host.

    2. Wählen Sie unter System die Option Sicherheitsprofil aus.

    3. Klicken Sie im Bereich Sperrmodus auf Bearbeiten.

    4. Wählen Sie im Dialogfeld Sperrmodus auf der Seite Sperrmodus die Option Deaktiviert aus.

    5. Klicken Sie auf OK.

  5. Trennen Sie den ESXi-Host von vCenter Server.

    1. Klicken Sie in der Bestandsliste Hosts und Cluster mit der rechten Maustaste auf den ESXi-Host und wählen Sie Verbindung > Trennen aus.

    2. Klicken Sie im Bestätigungsdialogfeld auf OK.

  6. Sichern Sie das aktuelle ESXi-Hostzertifikat.

    1. Melden Sie sich über die DCUI oder über einen SSH-Client bei der ESXi Shell als Benutzer mit Administratorrechten an.

    2. Benennen Sie im Verzeichnis /etc/vmware/ssl die vorhandenen Zertifikate um, indem Sie die folgenden Befehle ausführen.

      cp rui.crt esxi-hostname-orig.rui.crt
cp rui.key esxi-hostname-orig.rui.key

    3. Exportieren Sie die Dateien esxi-hostname-orig.rui.crt und esxi-hostname-orig.rui.key mit einem SCP-Dienstprogramm wie beispielsweise WinSCP vom ESXi-Host.

  7. Ersetzen Sie das ESXi-Hostzertifikat.

    1. Kopieren Sie die Zertifikatdateien esxi-hostname.cer und esxi-hostname.key, die Sie von der Zertifizierungsstelle erhalten haben, mit einem SCP-Dienstprogramm wie beispielsweise WinSCP in das Verzeichnis /etc/vmware/ssl auf den Hosts.

    2. Benennen Sie in der ESXi Shell im Verzeichnis /etc/vmware/ssl die beiden Dateien esxi-hostname.cer und esxi-hostname.key in rui.crt und rui.key um, indem Sie folgende Befehle ausführen.

      Bestätigen Sie jegliche Dateiersetzung.

      mv /etc/vmware/ssl/esxi-hostname.cer rui.crt
mv /etc/vmware/ssl/esxi-hostname.key rui.key

    3. Starten Sie den ESXi-Host neu, indem Sie folgenden Befehl ausführen.

      reboot

  8. Klicken Sie im vSphere Client in der Bestandsliste Hosts und Cluster mit der rechten Maustaste auf den ESXi-Host und wählen Sie Verbindung > Verbinden aus.

  9. Stellen Sie sicher, dass das ESXi-Hostzertifikat nach dem Neustart erfolgreich ersetzt wurde.

    1. Klicken Sie auf die Registerkarte Konfigurieren für den ESXi-Host.

    2. Wählen Sie unter System die Option Zertifikat aus.

    3. Stellen Sie sicher, dass der Aussteller und die Gültigkeitstermine des Zertifikats mit dem von einer Zertifizierungsstelle signierten Zertifikat übereinstimmen.

    4. Stellen Sie sicher, dass der Status Good ist.

  10. Wenn Sie vSAN als Prinzipalspeicher verwenden, überprüfen Sie die vSAN-Integrität.

  11. Überprüfen Sie ESXi Hostkonnektivität mit SDDC Manager.

    1. Melden Sie sich bei SDDC Manager unter https://<sddc_manager_fqdn> mit einem Benutzer an, dem die Admin-Rolle zugewiesen ist.

    2. Wählen Sie im Navigationsbereich Bestandsliste > Hosts aus.

    3. Überprüfen Sie, ob der Konfigurationsstatus des Hosts Active ist.

  12. Überprüfen Sie die ESXi-Hostkonnektivität mit der NSX Manager-Instanz für die Arbeitslastdomäne.

    1. Klicken Sie auf der NSX Manager-Benutzeroberfläche unter https://<nsx_manager_fqdn> auf die Registerkarte System.

    2. Wählen Sie im Navigationsbereich Fabric > Hosts aus.

    3. Überprüfen Sie auf der Registerkarte Cluster ob die NSX-Konfiguration Success und der Knotenstatus für den ESXi-Host Up ist.

  13. Aktivieren Sie im vSphere Client den Sperrmodus des ESXi-Hosts erneut.

  14. Beenden Sie den Wartungsmodus des ESXi-Hosts.

    1. Erweitern Sie im vSphere Client den Arbeitslastdomäne-vCenter Server und navigieren Sie zum ESXi-Host.

    2. Klicken Sie mit der rechten Maustaste auf den ESXi-Host und wählen Sie Wartungsmodus > Wartungsmodus beenden aus.

  15. Wiederholen Sie den Vorgang für die verbleibenden ESXi-Hosts im Cluster.

  16. Wiederholen Sie den Vorgang für die Hosts in den verbleibenden Clustern in der Arbeitslastdomäne.

PowerShell-Verfahren

  1. Starten Sie Windows PowerShell.

  2. Ersetzen Sie die Werte im Beispielcode und führen Sie die Befehle in der PowerShell-Konsole aus.

    $sddcManagerFqdn = "sfo-vcf01.sfo.rainpole.io" 
$sddcManagerUser = "[email protected]" 
$sddcManagerPass = "VMw@re1!"
$workloadDomain = "sfo-m01"
$cluster = "sfo-m01-cl01" 
$certificateDirectory = "F:\Certificate"
$certificateFileExt = ".cer"

  3. Wenn Sie vSAN als Prinzipalspeicher verwenden, führen Sie zur Überprüfung des vSAN-Integritätsstatus den folgenden Befehl aus und stellen Sie sicher, dass die Ausgabe keine roten Warnungen enthält.

    Get-vSANHealthSummary -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $workloadDomain -cluster $cluster

  4. Sichern Sie die aktuellen Zertifikate der Hosts im Cluster mithilfe der ESXi Shell.

    Vorsicht:

    Mit dem Befehl Install-VCFCertificate, den Sie zum Ersetzen der Hostzertifikate ausführen, werden das ursprüngliche ESXi-Zertifikat und der private Schlüssel nicht gesichert.

  5. Ersetzen Sie das ESXi-Hostzertifikat durch Ausführen des folgenden Befehls.

    Install-VCFCertificate -esxi -server $sddcManagerFqdn -user $sddcManagerUser -pass $sddcManagerPass -domain $workloadDomain -cluster $cluster -certificateDirectory $certificateDirectory  -certificateFileExt $certificateFileExt

    Die Befehlsausgabe zeigt Folgendes an: successfully completed certificate replacement (Ersetzen des Zertifikats erfolgreich abgeschlossen).

  6. Wenn Sie vSAN als Prinzipalspeicher verwenden, überprüfen Sie den vSAN-Integritätsstatus erneut.

  7. Wiederholen Sie den Vorgang für die verbleibenden Cluster in der Arbeitslastdomäne.

Nächste Schritte

Da der ESXi-Zertifikatmodus auf „Benutzerdefiniert“ festgelegt ist, müssen Sie die Zertifikate der ESXi-Hosts durch von einer Zertifizierungsstelle signierte Zertifikate ersetzen, bevor Sie ESXi-Hosts zur Arbeitslastdomäne hinzufügen.

Wiederherstellen des Zertifikats eines ESXi-Hosts in einer Arbeitslastdomäne aus einer Sicherung

Wenn während ESXi Zertifikatsersetzung Probleme auftreten, können Sie die ursprüngliche Zertifikateinrichtung eines Hosts aus der Sicherung wiederherstellen, die Sie vor dem Ersetzungsvorgang erstellt haben.

Prozedur

  1. Melden Sie sich beim Arbeitslastdomänen-vCenter Server, der den Zielhost unter https://<vcenter-server_fqdn>/ui verwaltet, als [email protected] an.

  2. Versetzen Sie den ESXi-Host in den Wartungsmodus.

    1. Erweitern Sie in der Bestandsliste Hosts und Cluster den Arbeitslastdomänen-vCenter Server und navigieren Sie zum ersten ESXi-Host im ersten Cluster.

    2. Klicken Sie mit der rechten Maustaste auf den ESXi-Host und wählen Sie Wartungsmodus > in den Wartungsmodus wechseln aus.

    3. Wählen Sie für einen vSAN-Cluster im Dialogfeld In den Wartungsmodus wechseln im Dropdown-Menü vSAN-Datenmigration die Option Vollständige Datenmigration aus und klicken Sie auf OK.

  3. Deaktivieren Sie den ESXi-Sperrmodus.

    1. Klicken Sie auf die Registerkarte Konfigurieren für den ESXi-Host.

    2. Wählen Sie unter System die Option Sicherheitsprofil aus.

    3. Klicken Sie im Bereich Sperrmodus auf Bearbeiten.

    4. Wählen Sie im Dialogfeld Sperrmodus auf der Seite Sperrmodus die Option Deaktiviert aus.

    5. Klicken Sie auf OK.

  4. Deaktivieren Sie ESXi Sperrmodus mithilfe des VMware Host Client.

    Der ESXi-Host wird möglicherweise aufgrund von Authentifizierungsproblemen, die durch die nicht erfolgreiche Zertifikatersetzung auf dem Host verursacht wurden, vom Arbeitslastdomänen-vCenter Server getrennt.

    1. Melden Sie sich beim ESXi-Host unter https://<esxi_host_fqdn>/ui als root an.

    2. Wählen Sie im Navigationsbereich Verwalten > Sicherheit und Benutzer aus.

    3. Wählen Sie Sperrmodus aus und klicken Sie auf Einstellungen bearbeiten.

    4. Wählen Sie Deaktiviert aus und klicken Sie auf Ändern.

  5. Trennen Sie den ESXi-Host von vCenter Server.

    1. Klicken Sie im vSphere Client in der Bestandsliste Hosts und Cluster mit der rechten Maustaste auf den ESXi-Host und wählen Sie Verbindung > Trennen aus.

    2. Klicken Sie im Bestätigungsdialogfeld auf OK.

  6. Stellen Sie das ursprüngliche ESXi-Hostzertifikat wieder her.

    1. Kopieren Sie die ursprünglichen Zertifikatdateien esxi-hostname-orig.rui.crt und esxi-hostname-orig.rui.key in das Verzeichnis /etc/vmware/ssl auf dem Host mit einem SCP-Dienstprogramm wie beispielsweise WinSCP.

    2. Melden Sie sich über die DCUI oder über einen SSH-Client bei der ESXi Shell als Benutzer mit Administratorrechten an.

    3. Benennen Sie im Verzeichnis /etc/vmware/ssl die Dateien esxi-hostname-orig.rui.crt und esxi-hostname-orig.rui.key mit den folgenden Befehlen in rui.crt und rui.key um.

      mv /etc/vmware/ssl/esxi-hostname-orig.rui.crt rui.crt
mv /etc/vmware/ssl/esxi-hostname-orig.rui.key rui.key

    4. Starten Sie den ESXi-Host neu, indem Sie folgenden Befehl ausführen.

      reboot

  7. Klicken Sie im vSphere Client in der Bestandsliste Hosts und Cluster mit der rechten Maustaste auf den ESXi-Host und wählen Sie Verbindung > Verbinden aus.

  8. Stellen Sie sicher, dass das ESXi-Hostzertifikat nach dem Neustart erfolgreich ersetzt wurde.

    1. Klicken Sie auf die Registerkarte Konfigurieren für den ESXi-Host.

    2. Wählen Sie unter System die Option Zertifikat aus.

    3. Stellen Sie sicher, dass der Aussteller und die Gültigkeitstermine des Zertifikats mit dem von einer Zertifizierungsstelle signierten Zertifikat übereinstimmen.

    4. Stellen Sie sicher, dass der Status den Wert Good aufweist.

  9. Wenn Sie vSAN als Prinzipalspeicher verwenden, überprüfen Sie die vSAN Integrität.

    1. Wählen Sie in der Bestandsliste Hosts und Cluster den Cluster aus, der die ESXi-Hosts enthält, und klicken Sie auf die Registerkarte Überwachen.

    2. Klicken Sie im linken Bereich unter vSAN > Skyline Health auf Erneut testen und bestätigen Sie den Vorgang.

    3. Überprüfen Sie, ob im Bereich Übersicht keine roten Warnungen angezeigt werden.

    4. Überprüfen Sie im linken Bereich unter vSAN > Neusynchronisieren von Objekten, ob alle Synchronisierungsaufgaben abgeschlossen sind.

  10. Überprüfen Sie ESXi Hostkonnektivität mit SDDC Manager.

    1. Melden Sie sich bei SDDC Manager unter https://<sddc_manager_fqdn> mit einem Benutzer an, dem die Admin-Rolle zugewiesen ist.

    2. Wählen Sie im Navigationsbereich Bestandsliste > Hosts aus.

    3. Überprüfen Sie, ob der Konfigurationsstatus des Hosts Active ist.

  11. Überprüfen Sie die ESXi-Hostkonnektivität mit der NSX Manager-Instanz für die Arbeitslastdomäne.

    1. Klicken Sie auf der NSX Manager-Benutzeroberfläche unter https://<nsx_manager_fqdn> auf die Registerkarte System.

    2. Wählen Sie im Navigationsbereich Fabric > Hosts aus.

    3. Überprüfen Sie auf der Registerkarte Cluster ob die NSX-Konfiguration Success und der Knotenstatus für den ESXi-Host Up ist.

  12. Beenden Sie den Wartungsmodus des ESXi-Hosts.

    1. Erweitern Sie im vSphere Client den Arbeitslastdomäne-vCenter Server und navigieren Sie zum ESXi-Host.

    2. Klicken Sie mit der rechten Maustaste auf den ESXi-Host und wählen Sie Wartungsmodus > Wartungsmodus beenden aus.