ESXi verwendet automatisch generierte Zertifikate, die als Teil des Installationsprozesses erstellt wurden. Zwar sind diese Zertifikate eindeutig und ermöglichen die Verwendung des Servers, sie können jedoch nicht verifiziert werden und wurden nicht von einer vertrauenswürdigen Zertifizierungsstelle (CA) signiert. In diesem Thema wird erklärt, wie Sie die Standardzertifikate mit selbst signierten oder CA-signierten Zertifikaten ersetzen.

Vorbereitungen

  • Wenn Sie CA-signierte Zertifikate verwenden, generieren Sie die Zertifikatsanforderung, senden Sie sie an die Zertifizierungsstelle und speichern Sie die Zertifikate an einem Standort, auf den der Host zugreifen kann.

  • Aktivieren Sie ggf. ESXi Shell oder SSH-Datenverkehr vom vSphere Web Client. Weitere Informationen hierzu finden Sie unter Verwenden des vSphere Web Client zum Aktivieren des Zugriffs auf die ESXi Shell.

  • Alle Dateiübertragungen und andere Kommunikationsvorgänge erfolgen über eine sichere HTTPS-Sitzung. Der zum Authentifizieren der Sitzung verwendete Benutzer muss über die Berechtigung Host > Config > AdvancedConfig auf dem Host verfügen. Weitere Informationen zu ESXi-Berechtigungen finden Sie in der Dokumentation Verwaltung eines einzelnen Hosts von vSphere.

Warum und wann dieser Vorgang ausgeführt wird

Die Verwendung von selbst signierten Zertifikaten widerspricht möglicherweise der Sicherheitsrichtlinie Ihrer Organisation. Wenn Sie ein Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle anfordern, können Sie das Standardzertifikat ersetzen.

Anmerkung:

Wenn auf dem Host die Option zum Verifizieren von Zertifikaten aktiviert ist, beendet vCenter Server möglicherweise die Verwaltung des Hosts, wenn das Standardzertifikat ersetzt wird. Trennen und verbinden Sie den Host neu, wenn vCenter Server das neue Zertifikat nicht prüfen kann.

ESXi unterstützt nur X.509-Zertifikate zum Verschlüsseln von Sitzungsinformationen, die über SSL-Verbindungen zwischen Server- und Clientkomponenten gesendet werden.

Prozedur

  1. Melden Sie sich bei der ESXi Shell entweder direkt von der DCUI oder von einem SSH-Client als Benutzer mit Administratorrechten an.
  2. Benennen Sie im Verzeichnis /etc/vmware/ssl die vorhandenen Zertifikate mit folgenden Befehlen um.

    mv rui.crt orig.rui.crt
    mv rui.key orig.rui.key

  3. Kopieren Sie die Zertifikate, die Sie verwenden möchten, in /etc/vmware/ssl.
  4. Benennen Sie das neue Zertifikat und den Schlüssel um in rui.crt und rui.key.
  5. Starten Sie den Host nach der Installation des neuen Zertifikats neu.

    Alternativ können Sie den Host in den Wartungsmodus versetzen, das neue Zertifikat installieren, die Verwaltungs-Agenten über die Benutzerschnittstelle der direkten Konsole (Direct Console User Interface, DCUI) neu starten und den Host festlegen, um den Wartungsmodus zu beenden.