Viele Unternehmen möchten lediglich Zertifikate zu Diensten ersetzen lassen, die extern zugänglich sind. Certificate Manager unterstützt jedoch auch das Ersetzen von Lösungsbenutzerzertifikaten. Lösungsbenutzer sind Sammlungen von Diensten. So ersetzen beispielsweise alle mit dem vSphere Web Client verbundene Dienste in Bereitstellungen mit mehreren Knoten das Lösungsbenutzerzertifikat „machine“ im Platform Services Controller sowie sämtliche Lösungsbenutzer auf allen Verwaltungsknoten.

Warum und wann dieser Vorgang ausgeführt wird

Wenn Sie zur Eingabe eines Lösungsbenutzerzertifikats aufgefordert werden, geben Sie die vollständige Signaturzertifikatkette der Drittanbieterzertifizierungsstelle an.

Das Format sollte so oder ähnlich aussehen:

-----BEGIN CERTIFICATE-----
Signing certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
CA intermediate certificates
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Root certificate of enterprise or external CA
-----END CERTIFICATE-----

Voraussetzungen

Bevor Sie beginnen, benötigen Sie eine Zertifikatssignieranforderung (CSR) für jede Maschine in Ihrer Umgebung. Sie können die CSR mit vSphere Certificate Manager oder explizit generieren.

  1. Weitere Informationen zum Generieren einer CSR mit vSphere Certificate Manager finden Sie unter Generieren von Zertifikatssignieranforderungen mit vSphere Certificate Manager (benutzerdefinierte Zertifikate).

  2. Fordern Sie von Ihrer Drittanbieter- oder Unternehmenszertifizierungsstelle ein Zertifikat für jeden Benutzer der Lösung auf jedem Knoten an. Sie können die CSR mit vSphere Certificate Manager oder selbst generieren. DIE CSR muss die folgenden Anforderungen erfüllen:

    • Schlüsselgröße: mindestens 2.048 Bit (PEM-kodiert)

    • CRT-Format

    • x509 Version 3

    • „SubjectAltName“ muss DNS-Name=<Maschinen-FQDN> enthalten

    • Für jedes Lösungsbenutzerzertifikat ist ein unterschiedlicher Wert für Subject erforderlich. Geben Sie beispielsweise den Lösungsbenutzernamen (z. B. vpxd) oder einen anderen eindeutigen Bezeichner an.

    • Enthält die folgenden Schlüsselverwendungen: Digitale Signatur, Unleugbarkeit, Schlüsselverschlüsselung

Weitere Informationen finden Sie im VMware-Knowledgebase-Artikel 2112014, Beziehen von vSphere-Zertifikaten von einer Microsoft-Zertifizierungsstelle.

Prozedur

  1. Starten Sie vSphere Certificate Manager und wählen Sie Option 5 aus.
  2. Wählen Sie Option 2 aus, um die Zertifikatsersetzung zu starten, und befolgen Sie die Anweisungen.

    vSphere Certificate Manager fordert Sie zur Eingabe der folgenden Informationen auf:

    • Kennwort für „administrator@vsphere.local“.

    • Zertifikat und Schlüssel für Lösungsbenutzer „machine“.

    • Wenn Sie vSphere Certificate Manager für einen Platform Services Controller-Knoten ausführen, werden Sie zur Eingabe des Zertifikats und des Schlüssels (vpxd.crt und vpxd.key) für den Lösungsbenutzer „machine“ aufgefordert.

    • Wenn Sie vSphere Certificate Manager für einen Verwaltungsknoten oder eine eingebettete Bereitstellung ausführen, werden Sie zur Eingabe aller Zertifikate und Schlüssel (vpxd.crt und vpxd.key) für alle Lösungsbenutzer aufgefordert.

Nächste Maßnahme

Wenn Sie das Upgrade von einer vSphere 5.x-Umgebung aus vornehmen, müssen Sie möglicherweise das vCenter Single Sign On-Zertifikat innerhalb von vmdir ersetzen. Weitere Informationen hierzu finden Sie unter Ersetzen des VMware Directory Service-Zertifikats in Umgebungen im gemischten Modus.