Die für das Einrichten oder Aktualisieren der Zertifikatinfrastruktur erforderliche Arbeit ist abhängig von den Anforderungen in Ihrer Umgebung. Dabei müssen Sie berücksichtigen, ob es sich um eine Neuinstallation oder ein Upgrade handelt und ob Sie ESXi oder vCenter Server verwenden möchten.

Administratoren, die VMware-Zertifikate nicht ersetzen

VMCA kann die gesamte Zertifikatsverwaltung durchführen. VMCA stellt vCenter Server-Komponenten und ESXi-Hosts Zertifikate bereit, die VMCA als Root-Zertifizierungsstelle verwenden. Wenn Sie ein Upgrade auf vSphere 6 von einer früheren Version von vSphere durchführen, werden alle selbstsignierten Zertifikate durch Zertifikate ersetzt, die durch VMCA signiert wurden.

Wenn Sie derzeit keine VMware-Zertifikate ersetzen, verwendet Ihre Umgebung VMCA-signierte Zertifikate anstatt selbstsignerte Zertifikate.

Administratoren, die VMware-Zertifikate durch benutzerdefinierte Zertifikate ersetzen

Wenn Ihre Firmenrichtlinie Zertifikate erfordert, die von einer Drittanbieter- oder Unternehmenszertifizierungsstelle signiert wurden oder für die benutzerdefinierte Zertifikatsinformationen erforderlich sind, stehen Ihnen zahlreiche Optionen für eine Neuinstallation zur Verfügung.

  • Lassen Sie das VMCA-Root-Zertifikat von einer Drittanbieter- oder Unternehmenszertifizierungsstelle signieren. Ersetzen Sie das VMCA-Root-Zertifikat durch dieses signierte Zertifikat. In diesem Szenario handelt es sich beim VMCA-Zertifikat um ein Zwischenzertifikat. VMCA stellt vCenter Server-Komponenten und ESXi-Hosts Zertifikate bereit, die die vollständige Zertifikatskette beinhalten.
  • Wenn Ihre Unternehmensrichtlinie keine Zwischenzertifikate in der Zertifikatskette zulässt, müssen Sie Zertifikate explizit ersetzen. Sie können den vSphere Client oder das Dienstprogramm vSphere Certificate Manager verwenden oder Zertifikate mithilfe der Zertifikatsverwaltungs-CLIs manuell ersetzen.

Beim Upgrade einer Umgebung, die benutzerdefinierte Zertifikate verwendet, können Sie einige Zertifikate beibehalten.

  • ESXi-Hosts behalten ihre benutzerdefinierten Zertifikate während des Upgrades bei. Stellen Sie sicher, dass beim Upgrade von vCenter Server alle relevanten Root-Zertifikate zum TRUSTED_ROOTS-Speicher in VECS unter vCenter Server hinzugefügt werden.

    Nach dem Upgrade auf vSphere 6.0 oder höher können Sie den Zertifikatmodus auf Benutzerdefiniert festlegen. Wenn der Zertifikatsmodus „VMCA“ lautet (Standardwert) und der Benutzer über den vSphere Client ein Zertifikat aktualisiert, werden die benutzerdefinierten Zertifikate durch VMCA-signierte Zertifikate ersetzt.

  • Bei einem Upgrade einer einfachen vCenter Server-Installation auf einer eingebetteten Bereitstellung behält vCenter Server benutzerdefinierte Zertifikate bei. Die Funktionsweise der Umgebung ist nach dem Upgrade unverändert. Die vorhandenen vCenter Server- und vCenter Single Sign On-Zertifikate werden beibehalten. Die Zertifikate dienen als Maschinen-SSL-Zertifikate. Darüber hinaus weist VMCA jedem Lösungsbenutzer ein VMCA-signiertes Zertifikat zu (Sammlung von vCenter-Diensten). Der Lösungsbenutzer verwendet dieses Zertifikat nur für die Authentifizierung bei vCenter Single Sign-On. Häufig erfordern es die Unternehmensrichtlinien nicht, dass Lösungsbenutzerzertifikate ersetzt werden.

    Sie können das Befehlszeilendienstprogramm, vSphere Certificate Manager, für die meisten Aufgaben der Zertifikatsverwaltung verwenden.

vSphere-Zertifikatschnittstellen

Für vCenter Server können Sie Zertifikate mit den folgenden Tools und Schnittstellen anzeigen und ersetzen.
Tabelle 1. Schnittstellen für die Verwaltung von vCenter Server-Zertifikaten
Schnittstelle Verwenden
vSphere Client Führen Sie gängige Zertifikataufgaben mit einer grafischen Benutzeroberfläche durch.
vSphere Automation-API Weitere Informationen finden Sie im Programmierhandbuch zu den VMware vSphere Automation SDKs.
Certificate Manager-Dienstprogramm Führen Sie gängige Zertifikatersetzungsaufgaben über die Befehlszeile der vCenter Server-Installation durch.
Zertifikatsverwaltungs-CLIs Führen Sie alle Zertifikatsverwaltungsaufgaben mit dir-cli, certool und vecs-cli aus.
sso-config-Dienstprogramm Führen Sie STS-Zertifikatsverwaltung über die Befehlszeile der vCenter Server-Installation durch.

Für ESXi führen Sie die Zertifikatsverwaltung über den vSphere Client aus. VMCA stellt Zertifikate bereit und speichert sie lokal auf dem ESXi-Host. VMCA speichert ESXi-Hostzertifikate nicht in VMDIR oder in VECS. Informationen finden Sie in der Dokumentation vSphere-Sicherheit.

Unterstützte vCenter-Zertifikate

Für vCenter Server und zugehörige Maschinen und Dienste werden die folgenden Zertifikate unterstützt:

  • Zertifikate, die von VMware Certificate Authority (VMCA) generiert und signiert werden.
  • Benutzerdefinierte Zertifikate.
    • Unternehmenszertifikate, die von Ihrer eigenen internen PKI generiert werden.
    • Von einer Zertifizierungsstelle eines Drittanbieters signierte Zertifikate, die von einer externen PKI wie etwa Verisign, GoDaddy usw. generiert werden.

Mithilfe von OpenSSL erstellte selbstsignierte Zertifikate, bei denen es keine Root-Zertifizierungsstelle gibt, werden nicht unterstützt.