Ab vSphere 6.0 sind ESXi-Hosts standardmäßig mit Zertifikaten der VMCA ausgestattet. Sie können stattdessen den benutzerdefinierten Zertifikatmodus oder zur Fehlerbehebung den Fingerabdruckmodus verwenden. In den meisten Fällen unterbrechen Moduswechsel den Betrieb und sind nicht erforderlich. Wenn Sie einen Moduswechsel benötigen, sollten Sie die möglichen Auswirkungen vor Beginn prüfen.

Ab vSphere 6.0 unterstützt vCenter Server für ESXi-Hosts die folgenden Zertifikatmodi.

Tabelle 1. Zertifikatmodi für ESXi-Hosts

Zertifikatmodus

Beschreibung

VMware Certificate Authority (Standard)

Standardmäßig wird die VMware-Zertifizierungsstelle als Zertifizierungsstelle für ESXi-Hostzertifikate verwendet. VMCA ist standardmäßig die Root-Zertifizierungsstelle, kann aber als Zwischenzertifizierungsstelle für eine andere Zertifizierungsstelle eingerichtet werden. In diesem Modus können die Benutzer Zertifikate über den vSphere Web Client verwalten. Er wird auch verwendet, wenn VMCA ein untergeordnetes Zertifikat ist.

Benutzerdefinierte Zertifizierungsstelle

Manche Kunden möchten eine eigene externe Zertifizierungsstelle verwalten. In diesem Modus sind die Kunden für die Verwaltung der Zertifikate verantwortlich und können diese nicht über den vSphere Web Client verwalten.

Fingerabdruckmodus

In vSphere 5.5 gab es den Fingerabdruckmodus, der in vSphere 6.0 nach wie vor als Notfallmodus verfügbar ist. Verwenden Sie diesen Modus nur, wenn Sie Probleme mit einem der anderen beiden Modi haben, die Sie nicht beheben können. Einige Dienste aus vCenter 6.0 und höher funktionieren möglicherweise nicht korrekt im Fingerabdruckmodus.

Verwenden von benutzerdefinierten ESXi-Zertifikaten

Wenn Ihre Unternehmensrichtlinie die Verwendung einer anderen Root-Zertifizierungsstelle als VMCA erfordert, können Sie den Zertifikatmodus in Ihrer Umgebung nach sorgfältiger Planung wechseln. Folgender Workflow wird empfohlen.

  1. Wählen Sie die Zertifikate aus, die Sie verwenden möchten.

  2. Entfernen Sie alle Hosts aus vCenter Server.

  3. Fügen Sie das benutzerdefinierte Root-Zertifikat der Zertifizierungsstelle zu VECS hinzu.

  4. Stellen Sie die Zertifikate der benutzerdefinierten Zertifizierungsstelle an die einzelnen Hosts bereit, und starten Sie die Dienste auf den betreffenden Hosts neu.

  5. Wechseln Sie in den benutzerdefinierten Zertifizierungsstellen-Modus. Siehe Ändern des Zertifikatmodus.

  6. Fügen Sie die Hosts zum vCenter Server-System hinzu.

Wechseln vom benutzerdefinierten Zertifizierungsstellen-Modus zum VMCA-Modus

Wenn Sie den benutzerdefinierten Zertifizierungsstellen-Modus verwenden und zu dem Schluss kommen, dass VMCA sich für Ihre Umgebung besser eignet, können Sie nach sorgfältiger Planung den Modus wechseln. Folgender Workflow wird empfohlen.

  1. Entfernen Sie alle Hosts aus dem vCenter Server-System.

  2. Entfernen Sie auf dem vCenter Server-System das Root-Zertifikat der Drittanbieterzertifizierungsstelle aus VECS.

  3. Wechseln Sie in den VMCA-Modus. Siehe Ändern des Zertifikatmodus.

  4. Fügen Sie die Hosts zum vCenter Server-System hinzu.

Anmerkung:

Jeder andere Workflow für diesen Moduswechsel kann zu unvorhergesehenem Verhalten führen.

Beibehalten von Zertifikaten des Fingerabdruckmodus während des Upgrade

Der Wechsel vom VMCA-Modus zum Fingerabdruckmodus kann erforderlich sein, wenn Sie Probleme mit den VMCA-Zertifikaten haben. Im Fingerabdruckmodus prüft das vCenter Server-System nur, ob ein Zertifikat vorhanden und richtig formatiert ist, aber nicht, ob das Zertifikat gültig ist. Weitere Anweisungen finden Sie im Abschnitt Ändern des Zertifikatmodus.

Wechseln vom Fingerabdruckmodus in den VMCA-Modus

Wenn Sie den Fingerabdruckmodus verwenden und VMCA-signierte Zertifikate verwenden möchten, ist für den Wechsel einige Planung erforderlich. Folgender Workflow wird empfohlen.

  1. Entfernen Sie alle Hosts aus dem vCenter Server-System.

  2. Wechseln Sie in den VMCA-Zertifikatmodus. Siehe Ändern des Zertifikatmodus.

  3. Fügen Sie die Hosts zum vCenter Server-System hinzu.

Anmerkung:

Jeder andere Workflow für diesen Moduswechsel kann zu unvorhergesehenem Verhalten führen.

Wechseln vom benutzerdefinierten Zertifizierungsstellen-Modus in den Fingerabdruckmodus

Wenn Sie Probleme mit der benutzerdefinierten Zertifizierungsstelle haben, können Sie vorübergehend in den Fingerabdruckmodus wechseln. Der Wechsel funktioniert nahtlos, wenn Sie den Anweisungen unter Ändern des Zertifikatmodus folgen. Nach dem Moduswechsel prüft das vCenter Server-System nur das Format des Zertifikats, aber nicht mehr die Gültigkeit des Zertifikats selbst.

Wechseln vom Fingerabdruckmodus in den benutzerdefinierten Zertifizierungsstellen-Modus

Wenn Sie zur Fehlerbehebung in Ihrer Umgebung in den Fingerabdruckmodus gewechselt sind und wieder den benutzerdefinierten Zertifizierungsstellen-Modus verwenden möchten, müssen Sie zunächst die erforderlichen Zertifikate generieren. Folgender Workflow wird empfohlen.

  1. Entfernen Sie alle Hosts aus dem vCenter Server-System.

  2. Fügen Sie das Root-Zertifikat der benutzerdefinierten Zertifizierungsstelle dem TRUSTED_ROOTSF-Speicher auf VECS im vCenter Server-System hinzu. Siehe Aktualisieren des vCenter Server-Speichers TRUSTED_ROOTS (Benutzerdefinierte Zertifikate).

  3. Gehen Sie für jeden ESXi-Host wie folgt vor:

    1. Stellen Sie das Zertifikat und den Schlüssel der benutzerdefinierten Zertifizierungsstelle bereit.

    2. Starten Sie die Dienste auf dem Host neu.

  4. Wechseln Sie in den benutzerdefinierten Modus. Siehe Ändern des Zertifikatmodus.

  5. Fügen Sie die Hosts zum vCenter Server-System hinzu.