Für die vCenter-Hauptkomponenten können Sie mit dem Certificate Automation Tool Zertifikatsanforderungen generieren und die Standardzertifikate durch selbstsignierte oder von einer Zertifizierungsstelle (CA) signierte Zertifikate ersetzen. Darüber hinaus können Sie über die Befehlszeile ohne dieses Tool die Anforderungen generieren, die Zertifikate erstellen und die Zertifikate ersetzen.

Auffinden von Informationen

Wie Sie Zertifikate ersetzen möchten, hängt davon ab, wo Informationen zu finden sind. Für die Zertifikatsersetzung gibt es verschiedene Möglichkeiten.

  • Verwenden Sie das Zertifikatsersetzungs-Tool (Certificate Replacement Tool) in Ihrer Windows-Umgebung wie in diesem Dokument beschrieben.

  • Ersetzen Sie Zertifikate unter Windows explizit wie im VMware-Knowledgebase-Artikel 2058519 beschrieben.

  • Ersetzen Sie Zertifikate in der vCenter Server Appliance wie im VMware-Knowledgebase-Artikel 2057223 beschrieben.

Wenn Sie von einer Zertifizierungsstelle signierte Zertifikate verwenden möchten, müssen Sie für jede Komponente eine Zertifikatssignierungs-Anforderung (Certificate Signing Request, CSR) generieren. Hierfür können Sie das Tool verwenden. Eine Aufstellung der Zertifikatsanforderungen finden Sie unter Vorbereiten Ihrer Umgebung.

Übersicht über das Zertifikatsersetzungs-Tool (Certificate Replacement Tool)

Beim Zertifikat-Automatisierungs-Tool handelt es sich um ein Befehlszeilentool zum Ersetzen der Zertifikate für die unten aufgeführten vCenter-Kernkomponenten. In den meisten Fällen ersetzen Sie die Standardzertifikate durch benutzerdefinierte Zertifikate. Sie verwenden dieses Tool nach der Installation aller vCenter-Komponenten. Wenn Sie der vSphere-Umgebung eine neue Komponente hinzufügen, können Sie das Tool erneut ausführen, um die Zertifikatsersetzung für die neue Komponente auszuführen. Wenn Sie dieses Tool für eine vCenter-Komponente wie z. B. das vCenter Server-System oder den vCenter Single Sign On-Server ausführen, werden die folgenden Aufgaben ausgeführt.

  • Sie werden zur Eingabe erforderlicher Informationen aufgefordert.

  • Die eingegebenen Informationen werden überprüft (x.509-Zertifikat und URL-Formate).

  • Das SSL-Zertifikat einer Komponente und die entsprechenden LookupService-Einträge der Dienste, die von den Komponenten verfügbar gemacht werden, werden bei Bedarf aktualisiert.

  • Der entsprechende Dienst wird bei Bedarf neu gestartet.

  • Die Vertrauensstellung der Komponente zu allen anderen Komponenten, zu denen eine Verbindung hergestellt wird, wird aktualisiert. Die Komponente wird bei Bedarf neu gestartet.

  • Dem Benutzer werden bei Bedarf die nächsten Schritte angezeigt.

Anmerkung:

Die Zertifikatsersetzung mit diesem Tool wurde mit vCenter Single Sign On, vCenter Inventory Service, vCenter Server, vSphere Web Client, vSphere Update Manager, vCenter Log Browser und vCenter Orchestrator getestet. Wenn Sie eine Zertifikatsersetzung mit einer anderen vSphere-Komponente ausführen müssen, halten Sie sich an die Anweisungen in der VMware-Dokumentation oder in der VMware-Knowledgebase für dieses Produkt. Möglicherweise müssen Sie Zertifikate in einer der unterstützten Komponenten im Rahmen dieses Vorgangs aktualisieren.

Dieses Tool unterstützt die folgenden vCenter-Komponenten:

  • vCenter Single Sign On

  • vCenter Inventory Service

  • vCenter Server

  • vSphere Web Client

  • vSphere Update Manager

  • vCenter Log Browser

  • vCenter Orchestrator

Für jede Komponente sind ein SSL-Zertifikat und ein Lösungsbenutzerzertifikat erforderlich. Die meisten Komponenten verwenden für beide Zwecke dasselbe Zertifikat. Unter Windows müssen die Lösungsbenutzerzertifikate eindeutig sein, weshalb für jede Komponente ein eindeutiges SSL-Zertifikat erforderlich ist.

Upgrades

Falls Sie die Standardzertifikate in vSphere 5.0 oder 5.1 ersetzt haben und ein Upgrade auf vSphere 5.5 durchführen, werden die Zertifikate migriert. Falls Sie ein Upgrade durchführen und die Standardzertifikate ersetzen möchten, können Sie nach dem Upgrade das Certificate Automation Tool ausführen.