Ab vSphere 6.0 sind ESXi-Hosts standardmäßig mit Zertifikaten der VMCA ausgestattet. Sie können stattdessen den benutzerdefinierten Zertifikatmodus oder zur Fehlerbehebung den alten Fingerabdruckmodus verwenden. In den meisten Fällen unterbrechen Moduswechsel den Betrieb und sind nicht erforderlich. Wenn Sie einen Moduswechsel benötigen, sollten Sie die möglichen Auswirkungen vor Beginn prüfen.
Zertifikatmodus | Beschreibung |
---|---|
VMware Certificate Authority (Standard) | Standardmäßig wird die VMware Certificate Authority als Zertifizierungsstelle für ESXi-Hostzertifikate verwendet. VMCA ist standardmäßig die Root-Zertifizierungsstelle, kann aber als Zwischenzertifizierungsstelle für eine andere Zertifizierungsstelle eingerichtet werden. In diesem Modus können die Benutzer Zertifikate über den vSphere Web Client verwalten. Er wird auch verwendet, wenn VMCA ein untergeordnetes Zertifikat ist. |
Benutzerdefinierte Zertifizierungsstelle | Manche Kunden möchten eine eigene externe Zertifizierungsstelle verwalten. In diesem Modus sind die Kunden für die Verwaltung der Zertifikate verantwortlich und können diese nicht über den vSphere Web Client verwalten. |
Fingerabdruckmodus | In vSphere 5.5 gab es den Fingerabdruckmodus, der in vSphere 6.0 nach wie vor als Notfallmodus verfügbar ist. Verwenden Sie diesen Modus nur, wenn mit einem der anderen beiden Modi Probleme aufgetreten sind, die Sie nicht beheben können. Einige Dienste aus vCenter 6.0 und höher funktionieren möglicherweise nicht korrekt im Fingerabdruckmodus. |
Verwenden von benutzerdefinierten ESXi-Zertifikaten
Wenn Ihre Unternehmensrichtlinie die Verwendung einer anderen Root-Zertifizierungsstelle als VMCA erfordert, können Sie den Zertifikatmodus in Ihrer Umgebung nach sorgfältiger Planung wechseln. Folgender Workflow wird empfohlen.
- Wählen Sie die Zertifikate aus, die Sie verwenden möchten.
- Versetzen Sie den Host bzw. die Hosts in den Wartungsmodus und trennen Sie ihn bzw. sie vom vCenter Server.
- Fügen Sie das benutzerdefinierte Root-Zertifikat der Zertifizierungsstelle zu VECS hinzu.
- Stellen Sie die Zertifikate der benutzerdefinierten Zertifizierungsstelle an die einzelnen Hosts bereit, und starten Sie die Dienste auf den betreffenden Hosts neu.
- Wechseln Sie in den benutzerdefinierten Zertifizierungsstellen-Modus. Weitere Informationen hierzu finden Sie unter Ändern des Zertifikatmodus.
- Verbinden Sie den Host bzw. die Hosts mit dem vCenter Server-System.
Wechseln vom benutzerdefinierten Zertifizierungsstellen-Modus zum VMCA-Modus
Wenn Sie den benutzerdefinierten Zertifizierungsstellen-Modus verwenden und zu dem Schluss kommen, dass VMCA sich für Ihre Umgebung besser eignet, können Sie nach sorgfältiger Planung den Modus wechseln. Folgender Workflow wird empfohlen.
- Entfernen Sie alle Hosts aus dem vCenter Server-System.
- Entfernen Sie auf dem vCenter Server-System das Root-Zertifikat der Drittanbieterzertifizierungsstelle aus VECS.
- Wechseln Sie in den VMCA-Modus. Weitere Informationen hierzu finden Sie unter Ändern des Zertifikatmodus.
- Fügen Sie die Hosts zum vCenter Server-System hinzu.
Beibehalten von Zertifikaten des Fingerabdruckmodus während des Upgrade
Der Wechsel vom VMCA-Modus zum Fingerabdruckmodus kann erforderlich sein, wenn Sie Probleme mit den VMCA-Zertifikaten haben. Im Fingerabdruckmodus prüft das vCenter Server-System nur, ob ein Zertifikat vorhanden und richtig formatiert ist, aber nicht, ob das Zertifikat gültig ist. Weitere Anweisungen finden Sie im Abschnitt Ändern des Zertifikatmodus.
Wechseln vom Fingerabdruckmodus in den VMCA-Modus
Wenn Sie den Fingerabdruckmodus verwenden und VMCA-signierte Zertifikate verwenden möchten, ist für den Wechsel einige Planung erforderlich. Folgender Workflow wird empfohlen.
- Entfernen Sie alle Hosts aus dem vCenter Server-System.
- Wechseln Sie in den VMCA-Zertifikatmodus. Weitere Informationen hierzu finden Sie unter Ändern des Zertifikatmodus.
- Fügen Sie die Hosts zum vCenter Server-System hinzu.
Wechseln vom benutzerdefinierten Zertifizierungsstellen-Modus in den Fingerabdruckmodus
Wenn Sie Probleme mit der benutzerdefinierten Zertifizierungsstelle haben, können Sie vorübergehend in den Fingerabdruckmodus wechseln. Der Wechsel funktioniert nahtlos, wenn Sie den Anweisungen unter Ändern des Zertifikatmodus folgen. Nach dem Moduswechsel prüft das vCenter Server-System nur das Format des Zertifikats, aber nicht mehr die Gültigkeit des Zertifikats selbst.
Wechseln vom Fingerabdruckmodus in den benutzerdefinierten Zertifizierungsstellen-Modus
Wenn Sie zur Fehlerbehebung in Ihrer Umgebung in den Fingerabdruckmodus gewechselt sind und wieder den benutzerdefinierten Zertifizierungsstellen-Modus verwenden möchten, müssen Sie zunächst die erforderlichen Zertifikate generieren. Folgender Workflow wird empfohlen.
- Entfernen Sie alle Hosts aus dem vCenter Server-System.
- Fügen Sie das Root-Zertifikat der benutzerdefinierten Zertifizierungsstelle dem TRUSTED_ROOTSF-Speicher auf VECS im vCenter Server-System hinzu. Weitere Informationen hierzu finden Sie unter Aktualisieren des vCenter Server-Speichers TRUSTED_ROOTS (Benutzerdefinierte Zertifikate).
- Gehen Sie für jeden ESXi-Host wie folgt vor:
- Stellen Sie das Zertifikat und den Schlüssel der benutzerdefinierten Zertifizierungsstelle bereit.
- Starten Sie die Dienste auf dem Host neu.
- Wechseln Sie in den benutzerdefinierten Modus. Weitere Informationen hierzu finden Sie unter Ändern des Zertifikatmodus.
- Fügen Sie die Hosts zum vCenter Server-System hinzu.