Die Auswirkungen der neuen Zertifikatinfrastruktur sind abhängig von den Anforderungen in Ihrer Umgebung, ob Sie eine Neuinstallation oder ein Upgrade durchführen und ob Sie ESXi oder vCenter Server verwenden.

Administratoren, die VMware-Zertifikate nicht ersetzen

Wenn Sie ein Administrator sind, der aktuell VMware-Zertifikate nicht ersetzt, kann VMCA die komplette Zertifikatsverwaltung für Sie übernehmen. VMCA stellt vCenter Server-Komponenten und ESXi-Hosts Zertifikate bereit, die VMCA als Stammzertifizierungsstelle verwenden. Wenn Sie ein Upgrade auf vSphere 6 von einer früheren Version von vSphere durchführen, werden alle selbstsignierten Zertifikate durch Zertifikate ersetzt, die durch VMCA signiert wurden.

Administratoren, die VMware-Zertifikate durch benutzerdefinierte Zertifikate ersetzen

Für eine Neuinstallation haben Administratoren diese Optionen, wenn die Unternehmensrichtlinien von einer Drittanbieter- oder Unternehmenszertifizierungsstelle signierte Zertifikate oder benutzerdefinierte Zertifikatinformationen verlangen.

  • Ersetzen Sie das VMCA-Stammzertifikat durch ein von einer Zertifizierungsstelle signiertes Zertifikat. In diesem Szenario handelt es sich beim VMCA-Zertifikat um ein Zwischenzertifikat dieser Drittanbieter-Zertifizierungsstelle. VMCA stellt vCenter Server-Komponenten und ESXi-Hosts Zertifikate bereit, die die vollständige Zertifikatskette beinhalten.

  • Wenn die Unternehmensrichtlinien keine Zwischenzertifikate in der Zertifikatskette zulassen, müssen Sie Zertifikate explizit ersetzen. Sie können das Dienstprogramm vSphere Certificate Manager verwenden oder Zertifikate mithilfe der Zertifikatsverwaltungs-CLIs manuell ersetzen.

Beim Upgrade einer Umgebung, die benutzerdefinierte Zertifikate verwendet, können Sie einige Zertifikate beibehalten.

  • ESXi-Hosts behalten ihre benutzerdefinierten Zertifikate während des Upgrades bei. Stellen Sie sicher, dass beim Upgrade von vCenter Server alle relevanten Stammzertifikate zum TRUSTED_ROOTS-Speicher in VECS auf dem vCenter Server hinzugefügt werden.

    Nach dem Upgrade von vCenter Server können Administratoren den Zertifikatsmodus „Benutzerdefiniert“ festlegen (siehe Ändern des Zertifikatmodus). Wenn der Zertifikatsmodus „VMCA“ lautet (Standardwert) und der Benutzer über den vSphere Web Client ein Zertifikat aktualisiert, werden die benutzerdefinierten Zertifikate durch VMCA-signierte Zertifikate ersetzt.

  • Die vorhandene Umgebung bestimmt, was bei vCenter Server-Komponenten passiert.

    • Wenn Sie ein Upgrade einer einfachen Installation auf eine eingebettete Bereitstellung durchführen, werden benutzerdefinierte Zertifikate von vCenter Server beibehalten. Die Funktionsweise der Umgebung ist nach dem Upgrade unverändert.

    • Bei einem Upgrade einer Bereitstellung mit mehreren Sites, in der sich vCenter Single Sign On auf einer anderen Maschine als andere vCenter Server-Komponenten befindet, wird eine Bereitstellung mit mehreren Knoten erstellt, die einen Platform Services Controller-Knoten und einen oder mehrere Verwaltungsknoten aufweist.

      In diesem Szenario werden die vorhandenen vCenter Server- und vCenter Single Sign On-Zertifikate beibehalten und als Maschinen-SSL-Zertifikate verwendet. VMCA weist jedem Lösungsbenutzer ein VMCA-signiertes Zertifikat zu (Sammlung von vCenter-Diensten). Ein Lösungsbenutzer verwendet dieses Zertifikat nur zum Authentifizieren bei vCenter Single Sign On, weshalb es möglicherweise nicht notwendig ist, Lösungsbenutzerzertifikate zu ersetzen.

    Das Zertifikatsersetzungs-Tool aus vSphere 5.5, das für vSphere 5.5-Installationen verfügbar war, kann nicht mehr verwendet werden, da die Dienste in der neuen Architektur anders verteilt und platziert werden. Ein neues Befehlszeilendienstprogramm, vSphere Certificate Manager, ist für die meisten Zertifikatsverwaltungsaufgaben verfügbar.

vCenter Server-Schnittstellen

Für vCenter Server können Sie Zertifikate mit den folgenden Tools und Schnittstellen anzeigen und ersetzen.

vSphere Certificate Manager-Dienstprogramm

Führen Sie alle gängigen Zertifikatsverwaltungsaufgaben über die Befehlszeile aus.

Zertifikatsverwaltungs-CLIs

Führen Sie alle Zertifikatsverwaltungsaufgaben mit dir-cli, certool und vecs-cli aus.

vSphere Web Client-Zertifikatsverwaltung

Zeigen Sie Zertifikate einschließlich der Informationen zum Ablauf von Zertifikaten an.

Für ESXi führen Sie die Zertifikatsverwaltung über den vSphere Web Client aus. Zertifikate werden von der VMCA bereitgestellt und nur lokal auf dem ESXi-Host gespeichert, jedoch nicht in vmdir oder VECS. Siehe Zertifikatsverwaltung für ESXi-Hosts.

Unterstützte vCenter-Zertifikate

Für vCenter Server, den Platform Services Controller und zugehörige Maschinen und Dienste werden die folgenden Zertifikate unterstützt:

  • Zertifikate, die von der VMware-Zertifizierungsstelle (VMCA) generiert und signiert werden.

  • Benutzerdefinierte Zertifikate.

    • Unternehmenszertifikate, die von Ihrer eigenen internen PKI generiert werden.

    • Von einer Zertifizierungsstelle eines Drittanbieters signierte Zertifikate, die von einer externen PKI wie etwa Verisign, GoDaddy usw. generiert werden.

Mithilfe von OpenSSL erstellte selbstsignierte Zertifikate, bei denen es keine Stammzertifizierungsstelle gibt, werden nicht unterstützt.