Sie können benutzerdefinierte Zertifikate von einer Unternehmens- oder Drittanbieter-Zertifizierungsstelle verwenden. Der erste Schritt besteht darin, die Zertifikate von der Zertifizierungsstelle anzufordern und die Stammzertifikate in den VECS zu importieren.

Voraussetzungen

Das Zertifikat muss die folgenden Anforderungen erfüllen:

  • Schlüsselgröße: mindestens 2.048 Bit (PEM-kodiert)

  • PEM-Format. VMware unterstützt PKCS8 und PKCS1 (RSA-Schlüssel). Wenn Schlüssel zu VECS hinzugefügt werden, werden sie in PKCS8 konvertiert.

  • x509 Version 3

  • Für Stammzertifikate muss die Zertifizierungsstellenerweiterung auf „true“ festgelegt sein, und „cert sign“ muss in der Liste der Anforderungen vorhanden sein.

  • „SubjectAltName“ muss DNS-Name=<Maschinen-FQDN> enthalten

  • CRT-Format

  • Enthält die folgenden Schlüsselverwendungen: Digitale Signatur, Unleugbarkeit, Schlüsselverschlüsselung

  • Startzeit von einem Tag vor dem aktuellen Zeitpunkt

  • CN (und SubjectAltName) auf den Hostnamen (oder die IP-Adresse) festgelegt, den/die der ESXi-Host in der vCenter Server-Bestandsliste hat.

Prozedur

  1. Senden Sie Zertifikatssignieranforderung (CSRs) für die folgenden Zertifikate an Ihren Unternehmens- oder Drittanbieter-Zertifikatanbieter.
    • Ein Maschinen-SSL-Zertifikat für jede Maschine. Für das Maschinen-SSL-Zertifikat muss das Feld „SubjectAltName“ den vollqualifizierten Domänennamen (DNS NAME=Maschinen-FQDN) enthalten.

    • Optional vier Lösungsbenutzerzertifikate für jedes eingebettete System bzw. jeden Verwaltungsknoten. Lösungsbenutzerzertifikate sollten keine IP-Adresse, keinen Hostnamen und keine E-Mail-Adresse enthalten. Für jedes Zertifikat ist ein unterschiedlicher Zertifikatantragsteller erforderlich.

    • Optional ein Lösungsbenutzerzertifikat „machine“ für externe Platform Services Controller-Instanzen. Dieses Zertifikat unterscheidet sich vom Maschinen-SSL-Zertifikat für den Platform Services Controller.

    Das Ergebnis sind in der Regel eine PEM-Datei für die Vertrauenskette sowie die signierten SSL-Zertifikate für jeden Platform Services Controller bzw. jeden Verwaltungsknoten.

  2. Listen Sie die TRUSTED_ROOTS- und Maschinen-SSL-Speicher auf.
    vecs-cli store list 
    
    1. Stellen Sie sicher, dass das aktuelle Rootzertifikat und alle Maschinen-SSL-Zertifikate von VMCA signiert wurden.
    2. Notieren Sie sich den Inhalt der Felder „Seriennummer“, „Aussteller“ und „Subjektname“.
    3. (Optional) : Stellen Sie mithilfe eines Webbrowsers eine HTTPS-Verbindung zu einem Knoten her, auf dem das Zertifikat platziert werden soll. Überprüfen Sie die Zertifikatinformationen und stellen Sie sicher, dass sie mit dem Maschinen-SSL-Zertifikat übereinstimmen.
  3. Beenden Sie alle Dienste und starten Sie die Dienste für die Zertifikaterstellung, Weitergabe und Speicherung.

    Die Dienstnamen sind unter Windows und bei der vCenter Server Appliance unterschiedlich.

    Windows

    service-control --stop --all
    service-control --start VMWareAfdService
    service-control --start VMWareDirectoryService
    service-control --start VMWareCertificateService
    

    vCenter Server Appliance

    service-control --stop --all
    service-control --start vmafdd
    service-control --start vmdird
    service-control --start vmcad
    
  4. Veröffentlichen Sie das benutzerdefinierte Stammzertifikat.
    dir-cli trustedcert publish --cert <my_custom_root>

    Wenn Sie in der Befehlszeile keinen Benutzernamen und kein Kennwort eingeben, werden Sie zur Eingabe dieser Informationen aufgefordert.

  5. Starten Sie alle Dienste neu.
    service-control --start --all
    

Nächste Maßnahme

Sie können das ursprüngliche VMCA-Root-Zertifikat aus dem Zertifikatspeicher entfernen, wenn die Unternehmensrichtlinien dies verlangen. In diesem Fall müssen Sie das vCenter Single Sign-On-Zertifikat aktualisieren. Weitere Informationen hierzu finden Sie unter Aktualisieren des Zertifikats für den Security Token Service.