Sie können benutzerdefinierte Zertifikate von einer Unternehmens- oder Drittanbieter-Zertifizierungsstelle verwenden. Der erste Schritt besteht darin, die Zertifikate von der Zertifizierungsstelle anzufordern und die Stammzertifikate in den VMware Endpoint Certificate Store (VECS) zu importieren.
Voraussetzungen
Das Zertifikat muss die folgenden Anforderungen erfüllen:
- Schlüsselgröße: mindestens 2.048 Bit (PEM-kodiert)
- PEM-Format. VMware unterstützt PKCS8 und PKCS1 (RSA-Schlüssel). Wenn Schlüssel zu VECS hinzugefügt werden, werden sie in PKCS8 konvertiert.
- x509 Version 3
- Für Stammzertifikate muss die Zertifizierungsstellenerweiterung auf „true“ festgelegt sein, und „cert sign“ muss in der Liste der Anforderungen vorhanden sein.
- „SubjectAltName“ muss DNS-Name=<Maschinen-FQDN> enthalten.
- CRT-Format
- Enthält die folgenden Schlüsselverwendungen: digitale Signatur, Schlüsselverschlüsselung
- Startzeit von einem Tag vor dem aktuellen Zeitpunkt.
- CN (und SubjectAltName) auf den Hostnamen (oder die IP-Adresse) festgelegt, den/die der ESXi-Host in der vCenter Server-Bestandsliste hat.
Prozedur
- Senden Sie die Zertifikatsignieranforderungen (CSRs) für die folgenden Zertifikate an Ihren Unternehmens- oder Drittanbieter-Zertifikatanbieter.
- Ein Maschinen-SSL-Zertifikat für jede Maschine. Für das Maschinen-SSL-Zertifikat muss das Feld „SubjectAltName“ den vollqualifizierten Domänennamen (DNS NAME=Maschinen-FQDN) enthalten.
- Optional vier Lösungsbenutzerzertifikate für jedes eingebettete System bzw. jeden Verwaltungsknoten. Lösungsbenutzerzertifikate sollten keine IP-Adresse, keinen Hostnamen und keine E-Mail-Adresse enthalten. Für jedes Zertifikat ist ein unterschiedlicher Zertifikatantragsteller erforderlich.
- Optional ein Lösungsbenutzerzertifikat „machine“ für externe Platform Services Controller-Instanzen. Dieses Zertifikat unterscheidet sich vom Maschinen-SSL-Zertifikat für den Platform Services Controller.
Das Ergebnis sind in der Regel eine PEM-Datei für die Vertrauenskette sowie die signierten SSL-Zertifikate für jeden Platform Services Controller bzw. jeden Verwaltungsknoten.
- Listen Sie die TRUSTED_ROOTS- und Maschinen-SSL-Speicher auf.
- Stellen Sie sicher, dass das aktuelle Rootzertifikat und alle Maschinen-SSL-Zertifikate von VMCA signiert wurden.
- Notieren Sie sich den Inhalt der Felder „Seriennummer“, „Aussteller“ und „Subjektname“.
- (Optional) Stellen Sie mithilfe eines Webbrowsers eine HTTPS-Verbindung zu einem Knoten her, auf dem das Zertifikat platziert werden soll. Überprüfen Sie die Zertifikatinformationen und stellen Sie sicher, dass sie mit dem Maschinen-SSL-Zertifikat übereinstimmen.
- Beenden Sie alle Dienste und starten Sie die Dienste für die Zertifikaterstellung, Weitergabe und Speicherung.
Die Dienstnamen sind unter Windows und bei der
vCenter Server Appliance unterschiedlich.
Hinweis: Wenn in Ihrer Umgebung ein externer
Platform Services Controller verwendet wird, brauchen Sie VMware Directory Service (vmdird) und VMware Certificate Authority (vmcad) auf dem
vCenter Server-Knoten nicht zu beenden und zu starten. Diese Dienste werden unter dem
Platform Services Controller ausgeführt.
-
Windows
-
service-control --stop --all
service-control --start VMWareAfdService
service-control --start VMWareDirectoryService
service-control --start VMWareCertificateService
-
vCenter Server Appliance
-
service-control --stop --all
service-control --start vmafdd
service-control --start vmdird
service-control --start vmcad
- Veröffentlichen Sie das benutzerdefinierte Stammzertifikat.
dir-cli trustedcert publish --cert <my_custom_root>
Wenn Sie in der Befehlszeile keinen Benutzernamen und kein Kennwort eingeben, werden Sie zur Eingabe dieser Informationen aufgefordert.
- Starten Sie alle Dienste neu.
service-control --start --all
Nächste Maßnahme
Sie können das ursprüngliche VMCA-Root-Zertifikat aus dem Zertifikatspeicher entfernen, wenn die Unternehmensrichtlinien dies verlangen. In diesem Fall müssen Sie das vCenter Single Sign-On-Zertifikat aktualisieren. Weitere Informationen hierzu finden Sie unter Aktualisieren des Zertifikats für den Security Token Service.