Mithilfe von vSphere Certificate Manager können Zertifikatssignieranforderungen (Certificate Signing Requests, CSRs) generiert werden. Übermitteln Sie diese CSRs zur Unterzeichnung an Ihre Unternehmenszertifizierungsstelle oder an eine externe Zertifizierungsstelle. Sie können die signierten Zertifikate mit den unterschiedlichen unterstützten Zertifikatsersetzungsvorgängen verwenden.

  • Sie können vSphere Certificate Manager zum Generieren der CSR verwenden.
  • Wenn Sie die CSR manuell erstellen möchten, muss das Zertifikat, das Sie zum Signieren senden, die folgenden Anforderungen erfüllen.
    • Schlüsselgröße: 2048 Bit (Minimum) bis 16384 Bit (Maximum) (PEM-codiert)
    • PEM-Format. VMware unterstützt PKCS8 und PKCS1 (RSA-Schlüssel). Wenn Schlüssel zu VECS hinzugefügt werden, werden sie in PKCS8 konvertiert.
    • x509 Version 3
    • Die Zertifizierungsstellenerweiterung muss für Stammzertifikate auf „true“ festgelegt werden und „cert sign“ muss in der Liste der Anforderungen vorhanden sein. Beispiel:
      basicConstraints        = critical,CA:true
keyUsage                = critical,digitalSignature,keyCertSign
    • CRL-Signatur muss aktiviert sein.
    • Erweiterte Schlüsselverwendung kann entweder leer sein oder Serverauthentifizierung enthalten.
    • Keine explizite Beschränkung der Zertifikatskettenlänge. VMCA verwendet den OpenSSL-Standardwert von 10 Zertifikaten.
    • Zertifikate mit Platzhalterzeichen oder mehr als einem DNS-Namen werden nicht unterstützt.
    • Untergeordnete Zertifizierungsstellen von VMCA können nicht erstellt werden.

      Im VMware-Knowledgebase-Artikel „Creating a Microsoft Certificate Authority Template for SSL certificate creation in vSphere 6.x“ unter http://kb.vmware.com/kb/2112009 finden Sie ein Beispiel für die Verwendung der Microsoft-Zertifizierungsstelle.

Voraussetzungen

vSphere Certificate Manager fordert Sie zur Eingabe von Informationen auf. Die Eingabeaufforderungen sind abhängig von Ihrer Umgebung und vom Zertifikatstyp, den Sie ersetzen möchten.

Beim Generieren von Zertifikatssignieranforderungen werden Sie generell aufgefordert, das Kennwort für den Benutzer „[email protected]“ bzw. den Administrator für die vCenter Single Sign On-Domäne, mit der Sie eine Verbindung herstellen, einzugeben.

Prozedur

  1. Führen Sie vSphere Certificate Manager aus.
    /usr/lib/vmware-vmca/bin/certificate-manager
  2. Wählen Sie Option 2 aus.
    Anfänglich verwenden Sie diese Option zum Generieren der CSR, nicht zum Ersetzen von Zertifikaten.
  3. Geben Sie, wenn Sie dazu aufgefordert werden, das Kennwort sowie die IP-Adresse oder den Hostnamen für den vCenter Server ein.
  4. Wählen Sie Option 1 aus, um die Zertifikatssignieranforderung zu generieren, und befolgen Sie die Anweisungen.
    Im Rahmen dieses Vorgangs müssen Sie ein Verzeichnis angeben. Certificate Manager fügt das zu signierende Zertifikat ( *.csr-Datei) und die entsprechende Schlüsseldatei ( *.key-Datei) in das Verzeichnis ein.
  5. Geben Sie der Zertifikatssignieranforderung (CSR) den Namen root_signing_cert.csr.
  6. Senden Sie die CSR zum Signieren an die Zertifizierungsstelle in Ihrem Unternehmen oder eine externe Zertifizierungsstelle und geben Sie dem resultierenden signierten Zertifikat den Namen root_signing_cert.cer.
  7. Kombinieren Sie in einem Texteditor die Zertifikate wie folgt. 
    -----BEGIN CERTIFICATE-----
Signed VMCA root certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
CA intermediate certificates
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Root certificate of enterprise or external CA
-----END CERTIFICATE-----
  8. Speichern Sie die Datei unter dem Namen root_signing_chain.cer.

Nächste Maßnahme

Ersetzen Sie das vorhandene Rootzertifikat durch das verkettete Rootzertifikat. Weitere Informationen hierzu finden Sie unter Ersetzen des VMCA-Rootzertifikats durch ein benutzerdefiniertes Signaturzertifikat und Ersetzen aller Zertifikate.