In vSphere 6.0 und höher stattet die VMware Certificate Authority (VMCA) jeden neuen ESXi-Host mit einem signierten Zertifikat aus, bei dem VMCA die standardmäßige Stammzertifizierungsstelle ist. Diese Bereitstellung findet statt, wenn der Host explizit oder im Zuge der Installation von ESXi 6.0 oder höher bzw. eines Upgrades auf diese Versionen zu vCenter Server hinzugefügt wird.

Sie können ESXi-Zertifikate in vSphere Web Client und über die vim.CertificateManager-API im vSphere Web Services SDK anzeigen und verwalten. Es ist nicht möglich, ESXi-Zertifikate mithilfe von Management-CLIs für vCenter Server-Zertifikate anzuzeigen oder zu verwalten.

Zertifikate in vSphere 5.5 und vSphere 6.x

Bei der Kommunikation zwischen ESXi und vCenter Server kommt TLS/SSL für beinahe den gesamten Verwaltungsdatenverkehr zum Einsatz.

Bis zu vSphere Version 5.5 werden die TLS/SSL-Endpoints lediglich mit einer Kombination aus Benutzername, Kennwort und Fingerabdruck geschützt. Hier können die entsprechenden selbstsignierten Zertifikate durch eigene Zertifikate ersetzt werden. Weitere Informationen erhalten Sie im Dokumentationscenter für vSphere 5.5.

Ab vSphere 6.0 unterstützt vCenter Server für ESXi-Hosts die folgenden Zertifikatmodi.

Tabelle 1. Zertifikatmodi für ESXi-Hosts

Zertifikatmodus

Beschreibung

VMware Certificate Authority (Standard)

Verwenden Sie diesen Modus, wenn VMCA die Zertifikate für alle ESXi-Hosts bereitstellt, entweder als Zertifizierungsstelle der obersten Ebene oder als Zwischenzertifizierungsstelle.

Standardmäßig liefert VMCA alle Zertifikate für ESXi-Hosts.

In diesem Modus können Sie Zertifikate in vSphere Web Client aktualisieren und verlängern.

Benutzerdefinierte Zertifizierungsstelle

Verwenden Sie diesen Modus, wenn Sie ausschließlich benutzerdefinierte, von einer Drittanbieter- oder Unternehmens-Zertifizierungsstelle signierte Zertifikate verwenden möchten.

In diesem Modus sind Sie für die Verwaltung der Zertifikate verantwortlich. Hier können Sie die Zertifikate nicht in vSphere Web Client aktualisieren und verlängern.

Anmerkung:

Wenn Sie den Zertifikatmodus nicht in „Benutzerdefinierte Zertifizierungsstelle“ ändern, kann VMCA benutzerdefinierte Zertifikate ersetzen, beispielsweise wenn Sie die Option Verlängern in vSphere Web Client wählen.

Fingerabdruckmodus

vSphere 5.5 verwendete den Fingerabdruckmodus, und dieser Modus ist in vSphere 6.x nach wie vor als Notfallmodus verfügbar. In diesem Modus prüft vCenter Server, ob das Zertifikat korrekt formatiert ist, jedoch nicht die Gültigkeit des Zertifikats. Selbst abgelaufene Zertifikate werden akzeptiert.

Verwenden Sie diesen Modus nur, wenn Sie auf Probleme stoßen, die in den anderen beiden Modi nicht zu beheben sind. Einige Dienste aus vCenter 6.x und höher funktionieren möglicherweise im Fingerabdruckmodus nicht korrekt.

Zertifikatsablauf

Ab vSphere 6.0 können Sie in vSphere Web Client Informationen über den Ablauf von Zertifikaten anzeigen, die von VMCA oder Drittanbieter-Zertifizierungsstellen signiert wurden. Sie können Informationen zu allen Hosts, die von einem vCenter Server-System verwaltet werden, oder zu einzelnen Hosts abrufen. Ein gelber Alarm wird ausgelöst, wenn sich das Zertifikat im Status Läuft in Kürze ab (weniger als acht Monate) befindet. Ein roter Alarm wird ausgelöst, wenn sich das Zertifikat im Status Ablauf steht bevor (weniger als zwei Monate) befindet.

ESXi-Bereitstellung und VMCA

Beim Start eines ESXi-Hosts von einem Installationsmedium besitzt der Host zunächst ein automatisch generiertes Zertifikat. Sobald er dem vCenter Server-System hinzugefügt wird, erhält er ein von VMCA als Stammzertifizierungsstelle signiertes Zertifikat.

Der Vorgang ist ähnlich für Hosts, die mit Auto Deploy bereitgestellt werden. Da diese Hosts jedoch keine Statusdaten speichern, wird das signierte Zertifikat vom Auto Deploy-Server in seinem lokalen Zertifikatspeicher gespeichert. Das Zertifikat wird bei nachfolgenden Starts der ESXi-Hosts wiederverwendet. Ein Auto Deploy-Server ist Teil einer eingebetteten Bereitstellung oder eines vCenter Server-Systems.

Wenn VMCA nicht verfügbar ist, wenn ein Auto Deploy-Host zum ersten Mal startet, versucht der Host zunächst, eine Verbindung herzustellen. Wenn der Host keine Verbindung herstellen kann, durchläuft er den Herunterfahren- und Neustartzyklus so lange, bis VMCA verfügbar wird und dem Host ein signiertes Zertifikat bereitgestellt werden kann.

Erforderliche Berechtigungen für die ESXi-Zertifikatsverwaltung

Die Zertifikatsverwaltung für ESXi-Hosts erfordert das Recht Zertifikate > Zertifikate verwalten. Dieses Recht können Sie über den vSphere Web Client festlegen.

Hostname und IP-Adresse

In vSphere 6.0 und höher kann sich eine Änderung der IP-Adresse oder des Hostnamens darauf auswirken, ob vCenter Server das Zertifikat eines Hosts als gültig erachtet oder nicht. Wie Sie den Host zu vCenter Server hinzugefügt haben bestimmt, ob ein manueller Eingriff notwendig wird. Manueller Eingriff bedeutet, dass Sie den Host neu verbinden bzw. ihn von vCenter Server abtrennen und wieder hinzufügen.

Tabelle 2. Notwendigkeit eines manuellen Eingriffs bei Hostnamen- oder IP-Adressänderung

Host zu vCenter Server hinzugefügt mithilfe ...

Änderungen des Hostnamens

Änderungen der IP-Adresse

Hostname

Problem bei vCenter Server-Verbindung Manueller Eingriff erforderlich

Kein Eingriff erforderlich

IP-Adresse

Kein Eingriff erforderlich

Problem bei vCenter Server-Verbindung Manueller Eingriff erforderlich