Standardmäßig stattet der Auto Deploy-Server jeden Host mit Zertifikaten aus, die von VMCA signiert wurden. Sie können den Auto Deploy-Server jedoch auch so konfigurieren, dass er alle Hosts mit nicht von VMCA signierten Zertifikaten ausstattet. Dabei wird der Auto Deploy-Server zu einer Zwischenzertifizierungsstelle für Ihre Drittanbieter-Zertifizierungsstelle.

Voraussetzungen

  • Fordern Sie ein Zertifikat von Ihrer Zertifizierungsstelle an. Die Zertifikatsdatei muss die folgenden Anforderungen erfüllen.

    • Schlüsselgröße: mindestens 2.048 Bit (PEM-kodiert)

    • PEM-Format. VMware unterstützt PKCS8 und PKCS1 (RSA-Schlüssel). Wenn Schlüssel zu VECS hinzugefügt werden, werden sie in PKCS8 konvertiert.

    • x509 Version 3

    • Für Stammzertifikate muss die Zertifizierungsstellenerweiterung auf „true“ festgelegt sein, und „cert sign“ muss in der Liste der Anforderungen vorhanden sein.

    • „SubjectAltName“ muss DNS-Name=<Maschinen-FQDN> enthalten

    • CRT-Format

    • Enthält die folgenden Schlüsselverwendungen: Digitale Signatur, Unleugbarkeit, Schlüsselverschlüsselung

    • Startzeit von einem Tag vor dem aktuellen Zeitpunkt

    • CN (und SubjectAltName) auf den Hostnamen (oder die IP-Adresse) festgelegt, den/die der ESXi-Host in der vCenter Server-Bestandsliste hat.

  • Benennen Sie die Zertifikatdatei rbd-ca.crt und die Schlüsseldatei rbd-ca.key.

Prozedur

  1. Sichern Sie die standardmäßigen ESXi-Zertifikate.

    Die Zertifikate befinden sich unter /etc/vmware-rbd/ssl/.

  2. Beenden Sie im vSphere Web Client den Auto Deploy-Dienst.
    1. Wählen Sie Verwaltung und klicken Sie unter Bereitstellung auf Systemkonfiguration.
    2. Klicken Sie auf Dienste.
    3. Klicken Sie mit der rechten Maustaste auf den Dienst, der beendet werden soll, und wählen Sie Beenden.
  3. Ersetzen Sie auf dem System, auf dem der Auto Deploy-Dienst ausgeführt wird, die Dateien rbd-ca.crt und rbd-ca.key in /etc/vmware-rbd/ssl/ durch Ihr benutzerdefiniertes Zertifikat bzw. die Schlüsseldateien.
  4. Aktualisieren Sie auf demselben System den Speicher TRUSTED_ROOTS im VECS, damit er die neuen Zertifikate verwendet.

    Option

    Beschreibung

    Windows

    cd C:\Program Files\VMware\vCenter Server\vmafdd\vecs-cli.exe
    vecs-cli entry delete --store TRUSTED_ROOTS --alias rbd_cert  
    vecs-cli entry create --store TRUSTED_ROOTS --alias rbd_cert 
    --cert /etc/vmware-rbd/ssl/rbd-ca.crt

    Linux

    cd /usr/lib/vmware-vmafd/bin/vecs-cli
    vecs-cli entry delete --store TRUSTED_ROOTS --alias	rbd_cert  
    vecs-cli entry create --store TRUSTED_ROOTS --alias	rbd_cert 
    --cert /etc/vmware-rbd/ssl/rbd-ca.crt
  5. Erstellen Sie die Datei castore.pem, die den Inhalt von TRUSTED_ROOTS enthält, und fügen Sie sie in das Verzeichnis /etc/vmware-rbd/ssl/ ein.

    Im benutzerdefinierten Modus sind Sie für die Wartung dieser Datei verantwortlich.

  6. Ändern Sie den ESXi-Zertifikatmodus für das vCenter Server-System in benutzerdefiniert.

    Weitere Informationen hierzu finden Sie unter Ändern des Zertifikatmodus.

  7. Starten Sie den vCenter Server-Dienst neu und starten Sie den Auto Deploy-Dienst.

Ergebnisse

Das nächste Mal, wenn Sie einen für die Verwendung von Auto Deploy eingerichteten Host bereitstellen, generiert der Auto Deploy-Server ein Zertifikat. Der Auto Deploy-Server verwendet das Root-Zertifikat, das Sie zum TRUSTED_ROOTS-Speicher hinzugefügt haben.

Anmerkung:

Falls nach dem Ersetzen des Zertifikats Probleme mit Auto Deploy auftreten, siehe VMware-Knowledgebase-Artikel 2000988.