Standardmäßig stattet der Auto Deploy-Server jeden Host mit Zertifikaten aus, die von VMCA signiert wurden. Sie können den Auto Deploy-Server jedoch auch so konfigurieren, dass er alle Hosts mit nicht von VMCA signierten Zertifikaten ausstattet. Dabei wird der Auto Deploy-Server zu einer Zwischenzertifizierungsstelle für Ihre Drittanbieter-Zertifizierungsstelle.

Voraussetzungen

  • Fordern Sie ein Zertifikat von Ihrer Zertifizierungsstelle an. Die Zertifikatsdatei muss die folgenden Anforderungen erfüllen.
    • Schlüsselgröße: mindestens 2.048 Bit (PEM-kodiert)
    • PEM-Format. VMware unterstützt PKCS8 und PKCS1 (RSA-Schlüssel). Wenn Schlüssel zu VECS hinzugefügt werden, werden sie in PKCS8 konvertiert.
    • x509 Version 3
    • Für Stammzertifikate muss die Zertifizierungsstellenerweiterung auf „true“ festgelegt sein, und „cert sign“ muss in der Liste der Anforderungen vorhanden sein.
    • „SubjectAltName“ muss DNS-Name=<Maschinen-FQDN> enthalten.
    • CRT-Format
    • Enthält die folgenden Schlüsselverwendungen: Digitale Signatur, Unleugbarkeit, Schlüsselverschlüsselung
    • Startzeit von einem Tag vor dem aktuellen Zeitpunkt.
    • CN (und SubjectAltName) auf den Hostnamen (oder die IP-Adresse) festgelegt, den/die der ESXi-Host in der vCenter Server-Bestandsliste hat.
  • Benennen Sie die Zertifikatdatei rbd-ca.crt und die Schlüsseldatei rbd-ca.key.

Prozedur

  1. Sichern Sie die standardmäßigen ESXi-Zertifikate.
    Die Zertifikate befinden sich im Verzeichnis /etc/vmware-rbd/ssl/.
  2. Halten Sie den vSphere Authentication Proxy-Dienst an.
    Tool Schritte
    vCenter Server Appliance Management Interface (VAMI)
    1. Navigieren Sie in einem Webbrowser zur Verwaltungsschnittstelle der vCenter Server Appliance, https:// appliance-IP-address-or-FQDN:5480.
    2. Melden Sie sich als „root“ an.

      Das standardmäßige Root-Kennwort ist das Kennwort, das Sie während der Bereitstellung der vCenter Server Appliance festlegen.

    3. Klicken Sie auf Dienste und anschließend auf den VMware vSphere Authentication Proxy-Dienst.
    4. Klicken Sie auf Beenden.
    vSphere Web Client
    1. Wählen Sie Verwaltung aus und klicken Sie unter Bereitstellung auf Systemkonfiguration.
    2. Klicken Sie auf Dienste und anschließend auf den Dienst VMware vSphere Authentication Proxy.
    3. Klicken Sie auf das rote Symbol Dienst beenden.
    Befehlszeilenschnittstelle
    service-control --stop vmcam
    
  3. Ersetzen Sie auf dem System, auf dem der Auto Deploy-Dienst ausgeführt wird, die Dateien rbd-ca.crt und rbd-ca.key in /etc/vmware-rbd/ssl/ durch Ihr benutzerdefiniertes Zertifikat bzw. die Schlüsseldateien.
  4. Verwenden Sie in dem System, auf dem der Auto Deploy-Dienst ausgeführt wird, die folgenden Befehle, um den TRUSTED_ROOTS-Speicher in VECS zu aktualisieren und die neuen Zertifikate zu nutzen.
    Option Beschreibung
    Windows
    cd "C:\Program Files\VMware\vCenter Server\vmafdd\"
    .\dir-cli.exe trustedcert publish --cert C:\ProgramData\VMware\vCenterServer\data\autodeploy\ssl\rbd-ca.crt
    .\vecs-cli force-refresh
    Linux
    /usr/lib/vmware-vmafd/bin/dir-cli trustedcert publish --cert /etc/vmware-rbd/ssl/rbd-ca.crt
    /usr/lib/vmware-vmafd/bin/vecs-cli force-refresh
  5. Erstellen Sie die Datei castore.pem, die den Inhalt des TRUSTED_ROOTS-Speichers enthält, und fügen Sie sie in das Verzeichnis /etc/vmware-rbd/ssl/ ein.
    Im benutzerdefinierten Modus sind Sie für die Wartung dieser Datei verantwortlich.
  6. Ändern Sie den ESXi-Zertifikatmodus für das vCenter Server-System in benutzerdefiniert.
    Weitere Informationen hierzu finden Sie unter Ändern des Zertifikatmodus.
  7. Starten Sie den vCenter Server-Dienst neu und starten Sie den Auto Deploy-Dienst.

Ergebnisse

Das nächste Mal, wenn Sie einen für die Verwendung von Auto Deploy eingerichteten Host bereitstellen, generiert der Auto Deploy-Server ein Zertifikat. Der Auto Deploy-Server verwendet das Root-Zertifikat, das Sie zum TRUSTED_ROOTS-Speicher hinzugefügt haben.

Hinweis: Wenn Sie Probleme mit dem automatischen Einsatz nach der Zertifikatsersetzung haben, lesen Sie sich den VMware-Knowledgebase-Artikel unter http://kb.vmware.com/kb/2000988 durch.