Wenn die Unternehmensrichtlinien keine Zwischenzertifizierungsstelle zulassen, können die Zertifikate nicht von VMCA generiert werden. Sie verwenden benutzerdefinierte Zertifikate von einer Unternehmens- oder Drittanbieter-Zertifizierungsstelle.

Vorbereitungen

Das Zertifikat muss die folgenden Anforderungen erfüllen:

  • Schlüsselgröße: mindestens 2.048 Bit (PEM-kodiert)

  • PEM-Format. VMware unterstützt PKCS8 und PKCS1 (RSA-Schlüssel). Wenn Schlüssel zu VECS hinzugefügt werden, werden sie in PKCS8 konvertiert.

  • x509 Version 3

  • Für Stammzertifikate muss die Zertifizierungsstellenerweiterung auf „true“ festgelegt sein, und „cert sign“ muss in der Liste der Anforderungen vorhanden sein.

  • „SubjectAltName“ muss DNS-Name=<Maschinen-FQDN> enthalten

  • CRT-Format

  • Enthält die folgenden Schlüsselverwendungen: Digitale Signatur, Unleugbarkeit, Schlüsselverschlüsselung

  • Startzeit von einem Tag vor dem aktuellen Zeitpunkt

  • CN (und SubjectAltName) auf den Hostnamen (oder die IP-Adresse) festgelegt, den/die der ESXi-Host in der vCenter Server-Bestandsliste hat.

Prozedur

  1. Senden Sie Zertifikatssignieranforderung (CSRs) für die folgenden Zertifikate an Ihren Unternehmens- oder Drittanbieter-Zertifikatanbieter.
    • Ein Maschinen-SSL-Zertifikat für jede Maschine. Für das Maschinen-SSL-Zertifikat muss das Feld „SubjectAltName“ den vollqualifizierten Domänennamen (DNS NAME=Maschinen-FQDN) enthalten.

    • Optional vier Lösungsbenutzerzertifikate für jedes eingebettete System bzw. jeden Verwaltungsknoten. Lösungsbenutzerzertifikate sollten keine IP-Adresse, keinen Hostnamen und keine E-Mail-Adresse enthalten. Für jedes Zertifikat ist ein unterschiedlicher Zertifikatantragsteller erforderlich.

    Das Ergebnis sind in der Regel eine PEM-Datei für die Vertrauenskette sowie die signierten SSL-Zertifikate für jeden Platform Services Controller bzw. jeden Verwaltungsknoten.

  2. Listen Sie die TRUSTED_ROOTS- und Maschinen-SSL-Speicher auf.
    vecs-cli store list 
    
    1. Stellen Sie sicher, dass das aktuelle Rootzertifikat und alle Maschinen-SSL-Zertifikate von VMCA signiert wurden.
    2. Notieren Sie sich den Inhalt der Felder „Seriennummer“, „Aussteller“ und „Subjektname“.
    3. (Optional) : Stellen Sie mithilfe eines Webbrowsers eine HTTPS-Verbindung zu einem Knoten her, auf dem das Zertifikat platziert werden soll. Überprüfen Sie die Zertifikatinformationen und stellen Sie sicher, dass sie mit dem Maschinen-SSL-Zertifikat übereinstimmen.
  3. Beenden Sie alle Dienste und starten Sie die Dienste für die Zertifikaterstellung, Weitergabe und Speicherung.

    Die Dienstnamen sind unter Windows und bei der vCenter Server Appliance unterschiedlich.

    Windows

    service-control --stop --all
    service-control --start VMWareAfdService
    service-control --start VMWareDirectoryService
    service-control --start VMWareCertificateService
    

    vCenter Server Appliance

    service-control --stop --all
    service-control --start vmafdd
    service-control --start vmdird
    service-control --start vmcad
    
  4. Veröffentlichen Sie das benutzerdefinierte Rootzertifikat, bei dem es sich um das Signaturzertifikat der Drittanbieter-Zertifizierungsstelle handelt.
    dir-cli trustedcert publish --cert <my_custom_root>

    Wenn Sie in der Befehlszeile keinen Benutzernamen und kein Kennwort eingeben, werden Sie zur Eingabe dieser Informationen aufgefordert.

  5. Starten Sie alle Dienste neu.
    service-control --start --all
    

Nächste Maßnahme

Sie können das ursprüngliche VMCA-Stammzertifikat aus dem Zertifikatspeicher entfernen, falls die Unternehmensrichtlinien dies verlangen. In diesem Fall müssen Sie diese internen Zertifikate aktualisieren: