Standardmäßig stattet der Auto Deploy-Server jeden Host mit Zertifikaten aus, die von VMCA signiert wurden. Sie können den Auto Deploy-Server jedoch auch so konfigurieren, dass er alle Hosts mit nicht von VMCA signierten Zertifikaten ausstattet. Dabei wird der Auto Deploy-Server zu einer Zwischenzertifizierungsstelle für Ihre Drittanbieter-Zertifizierungsstelle.

Vorbereitungen

  • Fordern Sie von Ihrer Zertifizierungsstelle ein Zertifikat an, das Ihren Anforderungen entspricht.

    • Schlüsselgröße: mindestens 2.048 Bit (PEM-kodiert)

    • PEM-Format. VMware unterstützt PKCS8 und PKCS1 (RSA-Schlüssel). Wenn Schlüssel zu VECS hinzugefügt werden, werden sie in PKCS8 konvertiert.

    • x509 Version 3

    • Für Stammzertifikate muss die Zertifizierungsstellenerweiterung auf „true“ festgelegt sein, und „cert sign“ muss in der Liste der Anforderungen vorhanden sein.

    • „SubjectAltName“ muss DNS-Name=<Maschinen-FQDN> enthalten

    • CRT-Format

    • Enthält die folgenden Schlüsselverwendungen: Digitale Signatur, Unleugbarkeit, Schlüsselverschlüsselung

    • Startzeit von einem Tag vor dem aktuellen Zeitpunkt

    • CN (und SubjectAltName) auf den Hostnamen (oder die IP-Adresse) festgelegt, den/die der ESXi-Host in der vCenter Server-Bestandsliste hat.

  • Benennen Sie die Zertifikatdatei rbd-ca.crt und die Schlüsseldatei rbd-ca.key.

Prozedur

  1. Sichern Sie die standardmäßigen ESXi-Zertifikate.

    Die Zertifikate befinden sich unter /etc/vmware-rbd/ssl/.

  2. Beenden Sie im vSphere Web Client den Auto Deploy-Dienst.
    1. Wählen Sie Verwaltung und klicken Sie unter Bereitstellung auf Systemkonfiguration.
    2. Klicken Sie auf Dienste.
    3. Klicken Sie mit der rechten Maustaste auf den Dienst, der beendet werden soll, und wählen Sie Beenden.
  3. Ersetzen Sie auf dem System, auf dem der Auto Deploy-Dienst ausgeführt wird, rbd-ca.crt und rbd-ca.key in /etc/vmware-rbd/ssl/ durch Ihre benutzerdefinierte Zertifikatdatei und Schlüsseldatei.
  4. Aktualisieren Sie auf demselben System den Speicher TRUSTED_ROOTS im VECS, damit er die neuen Zertifikate verwendet.
    vecs-cli entry delete --store TRUSTED_ROOTS --alias
    				rbd_cert  
    vecs-cli entry create --store TRUSTED_ROOTS --alias
    				rbd_cert --cert /etc/vmware-rbd/ssl/rbd-ca.crt
    

    Windows

    C:\Programme\VMware\vCenter Server\vmafdd\vecs-cli.exe

    Linux

    /usr/lib/vmware-vmafd/bin/vecs-cli

  5. Erstellen Sie die Datei castore.pem, die den Inhalt von TRUSTED_ROOTS enthält, und fügen Sie sie in das Verzeichnis /etc/vmware-rbd/ssl/ ein.

    Im benutzerdefinierten Modus sind Sie für die Wartung dieser Datei verantwortlich.

  6. Ändern Sie den Zertifikatmodus des vCenter Server-Systems in Benutzerdefiniert.
  7. Starten Sie den vCenter Server-Dienst neu und starten Sie den Auto Deploy-Dienst.

Ergebnisse

Bei der nächsten Zertifikatausstattung eines Hosts mit Auto Deploy generiert der Auto Deploy-Server ein Zertifikat anhand des Stammzertifikats, das Sie eben dem Speicher TRUSTED_ROOTS hinzugefügt haben.