Das Maschinen-SSL-Zertifikat wird vom Reverse-Proxy-Dienst für jeden Verwaltungsknoten, Platform Services Controller und jede eingebettete Bereitstellung verwendet. Für jede Maschine ist ein Maschinen-SSL-Zertifikat für die sichere Kommunikation mit anderen Diensten erforderlich. Sie können dieses Zertifikat für jeden Knoten durch ein benutzerdefiniertes Zertifikat ersetzen.

Voraussetzungen

Bevor Sie beginnen, benötigen Sie eine Zertifikatssignieranforderung (CSR) für jede Maschine in Ihrer Umgebung. Sie können die CSR mit vSphere Certificate Manager oder explizit generieren.
  1. Weitere Informationen zum Generieren einer CSR mit vSphere Certificate Manager finden Sie unter Generieren von Zertifikatssignieranforderungen mit vSphere Certificate Manager (benutzerdefinierte Zertifikate).
  2. Um die CSR explizit zu generieren, fordern Sie für jede Maschine ein Zertifikat von Ihrer Drittanbieter- oder Unternehmenszertifizierungsstelle an. Das Zertifikat muss die folgenden Anforderungen erfüllen:
    • Schlüsselgröße: mindestens 2.048 Bit (PEM-kodiert)
    • CRT-Format
    • x509 Version 3
    • „SubjectAltName“ muss DNS-Name=<Maschinen-FQDN> enthalten.
    • Enthält die folgenden Schlüsselverwendungen: digitale Signatur, Schlüsselverschlüsselung
    Hinweis: CRL-Verteilungspunkte, Zugriff auf Zertifizierungsstelleninfos oder Zertifikatvorlageninformationen dürfen in benutzerdefinierten Zertifikaten nicht verwendet werden.

Weitere Informationen finden Sie im VMware-Knowledgebase-Artikel 2112014, Beziehen von vSphere-Zertifikaten von einer Microsoft-Zertifizierungsstelle.

Prozedur

  1. Starten Sie vSphere Certificate Manager und wählen Sie Option 1 aus.
  2. Wählen Sie Option 2 aus, um die Zertifikatsersetzung zu starten, und befolgen Sie die Anweisungen.
    vSphere Certificate Manager fordert Sie zur Eingabe der folgenden Informationen auf:
    • Kennwort für „[email protected]“.
    • Gültiges benutzerdefiniertes Maschinen-SSL-Zertifikat (.crt-Datei).
    • Gültiger benutzerdefinierter Maschinen-SSL-Schlüssel (.key-Datei).
    • Gültiges Signaturzertifikat für das benutzerdefinierte Maschinen-SSL-Zertifikat (.crt-Datei).
    • Die IP-Adresse des Platform Services Controller, wenn Sie den Befehl für einen Verwaltungsknoten in einer Bereitstellung mit mehreren Knoten ausführen.

Nächste Maßnahme

Wenn Sie das Upgrade von einer vSphere 5.x-Umgebung aus vornehmen, müssen Sie möglicherweise das vCenter Single Sign-On-Zertifikat innerhalb von vmdir ersetzen. Weitere Informationen hierzu finden Sie unter Ersetzen des VMware Directory Service-Zertifikats in Umgebungen im gemischten Modus.