Sie können je nach der Unternehmensrichtlinie und den Anforderungen für das System, das Sie konfigurieren, verschiedene Arten von Zertifikatsersetzungen ausführen. Sie können jede Ersetzung mit dem Dienstprogramm „vSphere Certificate Manager“ oder manuell über die Befehlszeilenschnittstellen durchführen, die Teil Ihrer Installation sind.

Sie können die Standardzertifikate ersetzen. Für vCenter Server-Komponenten können Sie einen Satz von Befehlszeilen-Tools verwenden, die bei Ihrer Installation enthalten sind. Es sind mehrere Optionen verfügbar.

Ersetzen durch von VMCA signierte Zertifikate

Wenn Ihr VMCA-Zertifikat abläuft oder wenn Sie es aus anderen Gründen ersetzen möchten, können Sie dazu die Befehlszeilenschnittstellen zur Zertifikatsverwaltung verwenden. Standardmäßig läuft das VMCA-Rootzertifikat nach zehn Jahren ab, und alle von VMCA signierten Zertifikate laufen gleichzeitig mit dem Rootzertifikat ab, also nach maximal zehn Jahren.

Abbildung 1. Von VMCA signierte Zertifikate werden in VECS gespeichert
Im Standardmodus stellt VMCA durch VMCA signierte Zertifikate zur Verfügung

VMCA zu einer Zwischenzertifizierungsstelle machen

Sie können das VMCA-Rootzertifikat durch ein Zertifikat ersetzen, das durch eine Zertifizierungsstelle eines Unternehmens oder Drittanbieters signiert wurde. Die VMCA signiert das benutzerdefinierte Rootzertifikat immer, wenn sie Zertifikate zur Verfügung stellt, und macht so aus der VMCA eine Zwischenzertifizierungsstelle.

Anmerkung:

Wenn Sie eine Neuinstallation mit einem externen Platform Services Controller durchführen, installieren Sie den Platform Services Controller zuerst und ersetzen Sie das VMCA-Rootzertifikat. Installieren Sie dann andere Dienste oder fügen Sie Ihrer Umgebung ESXi-Hosts hinzu. Wenn Sie eine Neuinstallation mit einem eingebetteten Platform Services Controller durchführen, ersetzen Sie das VMCA-Rootzertifikat vor dem Hinzufügen von ESXi-Hosts. In diesem Fall werden alle Zertifikate durch die ganze Kette signiert und Sie brauchen nicht neue Zertifikate zu generieren.

Abbildung 2. Zertifikate, die durch eine Zertifizierungsstelle eines Drittanbieters oder Unternehmens signiert wurden, verwenden VMCA als Zwischenzertifizierungsstelle
Das VMCA-Zertifikat ist als Zwischenzertifikat enthalten. Das Rootzertifikat ist durch eine Drittanbieter-Zertifizierungsstelle signiert.

VMCA nicht verwenden, benutzerdefinierte Zertifikate zur Verfügung stellen

Sie können die vorhandenen VMCA-signierten Zertifikate durch benutzerdefinierte Zertifikate ersetzen. In diesem Fall sind Sie für die Bereitstellung und Überwachung aller Zertifikate verantwortlich.

Abbildung 3. Externe Zertifikate werden direkt in VECS gespeichert
Externe Zertifikate werden direkt in VECS gespeichert. VMCA wird nicht verwendet.

Hybrid-Bereitstellung

Sie können für bestimmte Teile Ihrer Infrastruktur VMCA-Zertifikate und für andere Teile Ihrer Infrastruktur benutzerdefinierte Zertifikate verwenden. Beispiel: Weil Lösungsbenutzerzertifikate nur zum Authentifizieren bei vCenter Single Sign On verwendet werden, empfiehlt es sich, diese Zertifikate durch VMCA bereitstellen zu lassen. Ersetzen Sie die Maschinen-SSL-Zertifikate durch benutzerdefinierte Zertifikate, um den ganzen SSL-Datenverkehr abzusichern.

ESXi-Zertifikatsersetzung

Für ESXi-Hosts können Sie die Methode der Zertifikatsbereitstellung über den vSphere Web Client ändern.

Modus „VMware-Zertifizierungsstelle“ (Standard)

Wenn Sie Zertifikate über den vSphere Web Client erneuern, gibt VMCA die Zertifikate für die Hosts aus. Wenn Sie das VMCA-Rootzertifikat geändert haben, sodass eine Zertifikatskette enthalten ist, enthalten die Hostzertifikate die vollständige Kette.

Modus „Benutzerdefinierte Zertifizierungsstelle“

Damit können Sie Zertifikate, die nicht von VMCA signiert oder ausgegeben wurden, manuell aktualisieren und verwenden.

Fingerabdruckmodus

Kann verwendet werden, um 5.5-Zertifikate beim Aktualisieren beizubehalten. Verwenden Sie diesen Modus nur vorübergehend in Debugging-Situationen.