Viele Unternehmen möchten lediglich Zertifikate zu Diensten ersetzen lassen, die extern zugänglich sind. Certificate Manager unterstützt jedoch auch das Ersetzen von Lösungsbenutzerzertifikaten. Lösungsbenutzer sind Sammlungen von Diensten, z. B. alle Dienste, die mit dem vSphere Client verknüpft sind.

Wenn Sie zur Eingabe eines Lösungsbenutzerzertifikats aufgefordert werden, geben Sie die vollständige Signaturzertifikatkette der Drittanbieterzertifizierungsstelle an.

Das Format sieht so oder ähnlich aus:
-----BEGIN CERTIFICATE-----
Signing certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
CA intermediate certificates
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Root certificate of enterprise or external CA
-----END CERTIFICATE-----

Voraussetzungen

Bevor Sie beginnen, benötigen Sie eine Zertifikatssignieranforderung (CSR) für jede Maschine in Ihrer Umgebung. Sie können die CSR mit vSphere Certificate Manager oder explizit generieren.

  1. Weitere Informationen zum Generieren einer CSR mit vSphere Certificate Manager finden Sie unter Generieren von Zertifikatssignieranforderungen mit vSphere Certificate Manager (benutzerdefinierte Zertifikate).
  2. Fordern Sie von Ihrer Drittanbieter- oder Unternehmenszertifizierungsstelle ein Zertifikat für jeden Benutzer der Lösung auf jedem Knoten an. Sie können die CSR mit vSphere Certificate Manager oder selbst generieren. Die CSR muss die folgenden Anforderungen erfüllen:
    • Schlüsselgröße: 2048 Bit (Minimum) bis 16384 Bit (Maximum) (PEM-codiert)
    • CRT-Format
    • x509 Version 3
    • „SubjectAltName“ muss DNS-Name=<Maschinen-FQDN> enthalten.
    • Für jedes Lösungsbenutzerzertifikat ist ein unterschiedlicher Wert für Subject erforderlich. Geben Sie beispielsweise den Lösungsbenutzernamen (z. B. vpxd) oder einen anderen eindeutigen Bezeichner an.

    • Enthält die folgenden Schlüsselverwendungen: digitale Signatur, Schlüsselverschlüsselung

Weitere Informationen finden Sie auch im VMware-Knowledgebase-Artikel unter http://kb.vmware.com/kb/2112014, „Obtaining vSphere certificates from a Microsoft Certificate Authority“.

Prozedur

  1. Starten Sie vSphere Certificate Manager und wählen Sie Option 5 aus.
  2. Wählen Sie Option 2 aus, um die Zertifikatsersetzung zu starten, und befolgen Sie die Anweisungen.
    vSphere Certificate Manager fordert Sie zur Eingabe der folgenden Informationen auf:
    • Kennwort für „[email protected]
    • Zertifikat und Schlüssel für Lösungsbenutzer „machine“
    • Zertifikat und Schlüssel (vpxd.crt und vpxd.key) für den Lösungsbenutzer „machine“
    • Vollständiger Satz an Zertifikaten und Schlüsseln (vpxd.crt und vpxd.key) für alle Lösungsbenutzer