Das Maschinen-SSL-Zertifikat wird vom Reverse-Proxy-Dienst für jeden Verwaltungsknoten, Platform Services Controller und jede eingebettete Bereitstellung verwendet. Für jede Maschine ist ein Maschinen-SSL-Zertifikat für die sichere Kommunikation mit anderen Diensten erforderlich. Sie können dieses Zertifikat für jeden Knoten durch ein benutzerdefiniertes Zertifikat ersetzen.
Voraussetzungen
- Weitere Informationen zum Generieren einer CSR mit vSphere Certificate Manager finden Sie unter Generieren von Zertifikatssignieranforderungen mit vSphere Certificate Manager (benutzerdefinierte Zertifikate).
- Um die CSR explizit zu generieren, fordern Sie für jede Maschine ein Zertifikat von Ihrer Drittanbieter- oder Unternehmenszertifizierungsstelle an. Das Zertifikat muss die folgenden Anforderungen erfüllen:
- Schlüsselgröße: mindestens 2.048 Bit (PEM-kodiert)
- CRT-Format
- x509 Version 3
- „SubjectAltName“ muss DNS-Name=<Maschinen-FQDN> enthalten.
- Enthält die folgenden Schlüsselverwendungen: digitale Signatur, Schlüsselverschlüsselung
Hinweis: CRL-Verteilungspunkte, Zugriff auf Zertifizierungsstelleninfos oder Zertifikatvorlageninformationen dürfen in benutzerdefinierten Zertifikaten nicht verwendet werden.
Weitere Informationen finden Sie im VMware-Knowledgebase-Artikel 2112014, Beziehen von vSphere-Zertifikaten von einer Microsoft-Zertifizierungsstelle.
Prozedur
Nächste Maßnahme
Wenn Sie das Upgrade von einer vSphere 5.x-Umgebung aus vornehmen, müssen Sie möglicherweise das vCenter Single Sign-On-Zertifikat innerhalb von vmdir ersetzen. Weitere Informationen hierzu finden Sie unter Ersetzen des VMware Directory Service-Zertifikats in Umgebungen im gemischten Modus.