Das Maschinen-SSL-Zertifikat wird vom Reverse-Proxy-Dienst auf jedem vCenter Server-Knoten verwendet. Für jede Maschine ist ein Maschinen-SSL-Zertifikat für die sichere Kommunikation mit anderen Diensten erforderlich. Sie können dieses Zertifikat für jeden Knoten durch ein benutzerdefiniertes Zertifikat ersetzen.

Voraussetzungen

Bevor Sie beginnen, benötigen Sie eine Zertifikatssignieranforderung (CSR) für jede Maschine in Ihrer Umgebung. Sie können die CSR mit vSphere Certificate Manager oder explizit generieren.

  1. Weitere Informationen zum Generieren einer CSR mit vSphere Certificate Manager finden Sie unter Generieren von Zertifikatssignieranforderungen mit vSphere Certificate Manager (benutzerdefinierte Zertifikate).
  2. Um die CSR explizit zu generieren, fordern Sie für jede Maschine ein Zertifikat von Ihrer Drittanbieter- oder Unternehmenszertifizierungsstelle an. Das Zertifikat muss die folgenden Anforderungen erfüllen:
    • Schlüsselgröße: 2048 Bit (Minimum) bis 16384 Bit (Maximum) (PEM-codiert)
    • CRT-Format
    • x509 Version 3
    • „SubjectAltName“ muss DNS-Name=<Maschinen-FQDN> enthalten.
    • Enthält die folgenden Schlüsselverwendungen: digitale Signatur, Schlüsselverschlüsselung

Weitere Informationen finden Sie auch im VMware-Knowledgebase-Artikel unter http://kb.vmware.com/kb/2112014, „Obtaining vSphere certificates from a Microsoft Certificate Authority“.

Prozedur

  1. Starten Sie vSphere Certificate Manager und wählen Sie Option 1 aus.
  2. Wählen Sie Option 2 aus, um die Zertifikatsersetzung zu starten, und befolgen Sie die Anweisungen.
    vSphere Certificate Manager fordert Sie zur Eingabe der folgenden Informationen auf:
    • Kennwort für „[email protected]
    • Gültiges benutzerdefiniertes Maschinen-SSL-Zertifikat (.crt-Datei)
    • Gültiger benutzerdefinierter Maschinen-SSL-Schlüssel (.key-Datei)
    • Gültiges Signaturzertifikat für das benutzerdefinierte Maschinen-SSL-Zertifikat (.crt-Datei)
    • IP-Adresse des vCenter Server