Das VMCA-Stammzertifikat können Sie durch ein von einer Zertifizierungsstelle (CA) signiertes Zertifikat ersetzen, das VMCA als Zwischenzertifikat in der Zertifikatskette beinhaltet. In Zukunft beinhalten alle von VMCA generierten Zertifikate die Zertifikatskette.

Vorbereitungen

  • Generieren Sie die Zertifikatsignieranforderung (Certificate Signing Request, CSR).

    • Sie können vSphere Certificate Manager zum Generieren der CSR verwenden. Siehe Generieren von CSRs mit vSphere Certificate Manager und Vorbereiten des Rootzertifikats (Zwischenzertifizierungsstelle).

    • Wenn Sie die CSR lieber manuell erstellen, muss das Zertifikat, das Sie zum Signieren senden, die folgenden Anforderungen erfüllen:

      • Schlüsselgröße: mindestens 2.048 Bit

      • PEM-Format. VMware unterstützt PKCS8 und PKCS1 (RSA-Schlüssel). Wenn Schlüssel zu VECS hinzugefügt werden, werden sie in PKCS8 konvertiert.

      • x509 Version 3

      • Wenn Sie benutzerdefinierte Zertifikate verwenden, muss die Zertifizierungsstellenerweiterung für Stammzertifikate auf „true“ festgelegt werden, und „cert sign“ muss in der Liste der Anforderungen vorhanden sein.

      • CRL-Signatur muss aktiviert sein.

      • „Erweiterte Schlüsselverwendung“ darf keine Clientauthentifizierung oder Serverauthentifizierung enthalten.

      • Keine explizite Beschränkung der Zertifikatskettenlänge. VMCA verwendet den OpenSSL-Standardwert von 10 Zertifikaten.

      • Zertifikate mit Platzhalterzeichen oder mehr als einem DNS-Namen werden nicht unterstützt.

      • Untergeordnete Zertifizierungsstellen von VMCA können nicht erstellt werden.

        Im VMware Knowledge Base-Artikel 2112009, „Creating a Microsoft Certificate Authority Template for SSL certificate creation in vSphere 6.0“, finden Sie ein Beispiel für die Verwendung der Microsoft-Zertifizierungsstelle.

  • Nachdem Sie das Zertifikat von Ihrer Drittanbieter- oder Unternehmenszertifizierungsstelle erhalten haben, kombinieren Sie es mit dem anfänglichen VMCA-Stammzertifikat, um eine vollständige Zertifikatskette mit dem VMCA-Rootzertifikat im unteren Bereich zu erstellen. Siehe Generieren von CSRs mit vSphere Certificate Manager und Vorbereiten des Rootzertifikats (Zwischenzertifizierungsstelle).

  • Sammeln Sie die erforderlichen Informationen.

    • Kennwort für „administrator@vsphere.local“.

    • Gültiges benutzerdefiniertes Zertifikat für Root (.crt-Datei).

    • Gültiger benutzerdefinierter Schlüssel für Root (.key-Datei).

Warum und wann dieser Vorgang ausgeführt wird

vSphere Certificate Manager führen Sie für eine eingebettete Installation oder einen externen Platform Services Controller aus, um das VMCA-Rootzertifikat durch ein benutzerdefiniertes Signaturzertifikat zu ersetzen.

vSphere Certificate Manager fordert Sie zur Eingabe der folgenden Informationen auf:

Prozedur

  1. Starten Sie vSphere Certificate Manager in einer eingebetteten Installation oder auf einem externen Platform Services Controller und wählen Sie Option 2 aus.
  2. Wählen Sie Option 2 aus, um die Zertifikatsersetzung zu starten, und befolgen Sie die Anweisungen.
    1. Geben Sie, wenn Sie dazu aufgefordert werden, den vollständigen Pfad zum Stammzertifikat an.
    2. Falls Sie Zertifikate erstmalig ersetzen, werden Sie zur Eingabe von Informationen für das Maschinen-SSL-Zertifikat aufgefordert.

      Diese Informationen beinhalten den erforderlichen FQDN der Maschine und werden in der Datei certool.cfg gespeichert.

  3. Falls Sie das Stammzertifikat für eine Bereitstellung mit mehreren Knoten ersetzen, müssen Sie die Dienste für alle vCenter Server-Instanzen neu starten.
  4. Bei Bereitstellungen mit mehreren Knoten verwenden Sie für die Neugenerierung aller Zertifikate in jeder vCenter Server-Instanz die Optionen 3 (Maschinen-SSL-Zertifikat durch VMCA-Zertifikat ersetzen) und 6 (Lösungsbenutzerzertifikate durch VMCA-Zertifikate ersetzen).

    Beim Ersetzen der Zertifikate signiert VMCA mit der vollständigen Zertifikatskette.

Nächste Maßnahme

Abhängig von Ihrer Umgebung müssen Sie möglicherweise zusätzliche Zertifikate explizit ersetzen.