Sie können Zertifikate mithilfe des vSphere Client anzeigen und überwachen. Sie können auch viele Zertifikatsverwaltungsaufgaben mit dem Dienstprogramm vSphere Certificate Manager durchführen.

Der vSphere Client ermöglicht Ihnen die Durchführung dieser Verwaltungsaufgaben.
  • Zeigen Sie die vertrauenswürdigen Stammzertifikate und SSL-Zertifikate an.
  • Verlängern vorhandener Zertifikate oder Ersetzen von Zertifikaten.
  • Generieren Sie eine benutzerdefinierte Zertifikatsignieranforderung (CSR) für ein Maschinen-SSL-Zertifikat, und ersetzen Sie das Zertifikat, wenn es von der Zertifizierungsstelle zurückgegeben wird.

Die meisten Abschnitte der Workflows zur Zertifikatsersetzung werden vom vSphere Client vollständig unterstützt. Zum Generieren von CSRs für Maschinen-SSL-Zertifikate können Sie entweder den vSphere Client oder das Dienstprogramm „Certificate Manage“ verwenden.

Unterstützte Workflows

Nach dem Installieren eines Platform Services Controller stellt die VMware Certificate Authority auf diesem Knoten allen anderen Knoten in der Umgebung standardmäßig Zertifikate bereit. Aktuelle Empfehlungen zum Verwalten von Zertifikaten finden Sie unter vSphere-Sicherheitszertifikate.

Zum Verlängern oder Ersetzen von Zertifikaten können Sie einen der folgenden Workflows verwenden.
Zertifikate erneuern
Sie können SSL- und Lösungsbenutzerzertifikate in Ihrer Umgebung aus vSphere Client von VMCA erneuern lassen.
VMCA zu einer Zwischenzertifizierungsstelle machen
Sie können eine Zertifikatsignieranforderung (Certificate Signing Request, CSR) mit dem Dienstprogramm vSphere Certificate Manager generieren. Anschließend können Sie das Zertifikat der CSR bearbeiten, um VMCA zur Zertifikatskette hinzuzufügen, und anschließend die Zertifikatskette und den privaten Schlüssel zu Ihrer Umgebung hinzufügen. Wenn Sie anschließend alle Zertifikate verlängern, stellt VMCA für alle Maschinen und Lösungsbenutzer Zertifikate bereit, die von der vollständigen Zertifikatskette signiert sind.
Zertifikate durch benutzerdefinierte Zertifikate ersetzen
Wenn Sie VMCA nicht verwenden möchten, können Sie CSRs für die zu ersetzenden Zertifikate generieren. Der Zertifizierungsstelle gibt für jede CSR ein Rootzertifikat und ein signiertes Zertifikat zurück. Sie können das Rootzertifikat und die benutzerdefinierten Zertifikate aus dem Platform Services Controller hochladen.
Hinweis: Wenn Sie VMCA als Zwischenzertifizierungsstelle verwenden oder wenn Sie benutzerdefinierte Zertifikate verwenden, stoßen Sie möglicherweise auf erhebliche Komplexität und das Potenzial für Beeinträchtigungen Ihrer Sicherheit sowie einen unnötigen Anstieg Ihres Betriebsrisikos. Weitere Informationen zum Verwalten von Zertifikaten innerhalb einer vSphere-Umgebung finden Sie im Blogbeitrag mit dem Titel New Product Walkthrough - Hybrid vSphere SSL Certificate Replacement (Neuer Produktfunktionstest - Ersetzen von hybriden vSphere-SSL-Zertifikaten) unter http://vmware.com/go/hybridvmca.

In einer Umgebung im gemischten Modus können Sie das vCenter Single Sign On-Zertifikat nach dem Ersetzen der anderen Zertifikate mithilfe von CLI-Befehlen ersetzen. Weitere Informationen hierzu finden Sie unter Ersetzen des VMware Directory Service-Zertifikats in Umgebungen im gemischten Modus.