Sie können benutzerdefinierte Zertifikate von einer Unternehmens- oder Drittanbieter-Zertifizierungsstelle verwenden. Der erste Schritt besteht darin, die Zertifikate von der Zertifizierungsstelle anzufordern und die Stammzertifikate in den VMware Endpoint Certificate Store (VECS) zu importieren.

Voraussetzungen

Das Zertifikat muss die folgenden Anforderungen erfüllen:

  • Schlüsselgröße: 2048 Bit (Minimum) bis 16384 Bit (Maximum) (PEM-codiert)
  • PEM-Format. VMware unterstützt PKCS8 und PKCS1 (RSA-Schlüssel). Wenn Schlüssel zu VECS hinzugefügt werden, werden sie in PKCS8 konvertiert.
  • x509 Version 3
  • Für Stammzertifikate muss die Zertifizierungsstellenerweiterung auf „true“ festgelegt sein, und „cert sign“ muss in der Liste der Anforderungen vorhanden sein.
  • „SubjectAltName“ muss DNS-Name=<Maschinen-FQDN> enthalten.
  • CRT-Format
  • Enthält die folgenden Schlüsselverwendungen: digitale Signatur, Schlüsselverschlüsselung
  • Startzeit von einem Tag vor dem aktuellen Zeitpunkt.
  • CN (und SubjectAltName) auf den Hostnamen (oder die IP-Adresse) festgelegt, den/die der ESXi-Host in der vCenter Server-Bestandsliste hat.

Prozedur

  1. Senden Sie die Zertifikatssignieranforderungen (CSRs) für die folgenden Zertifikate an Ihren Unternehmens- oder Drittanbieter-Zertifikatanbieter.
    • Ein Maschinen-SSL-Zertifikat für jede Maschine. Für das Maschinen-SSL-Zertifikat muss das Feld „SubjectAltName“ den vollqualifizierten Domänennamen (DNS NAME=Maschinen-FQDN) enthalten.
    • Optional fünf Lösungsbenutzerzertifikate für jeden Knoten. Lösungsbenutzerzertifikate müssen keine IP-Adresse, keinen Hostnamen und keine E-Mail-Adresse enthalten. Für jedes Zertifikat ist ein unterschiedlicher Zertifikatantragsteller erforderlich.

    Das Ergebnis ist in der Regel eine PEM-Datei für die Vertrauenskette, einschließlich der signierten SSL-Zertifikate für jeden vCenter Server-Knoten.

  2. Listen Sie die TRUSTED_ROOTS- und Maschinen-SSL-Speicher auf. 
    vecs-cli store list
    1. Stellen Sie sicher, dass das aktuelle Rootzertifikat und alle Maschinen-SSL-Zertifikate von VMCA signiert wurden.
    2. Notieren Sie sich den Inhalt der Felder „Seriennummer“, „Aussteller“ und „Subjektname“.
    3. (Optional) Stellen Sie mithilfe eines Webbrowsers eine HTTPS-Verbindung zu einem Knoten her, auf dem das Zertifikat ersetzt werden soll. Sehen Sie sich die Zertifikatsinformationen an und stellen Sie sicher, dass sie mit dem Maschinen-SSL-Zertifikat übereinstimmen.
  3. Beenden Sie alle Dienste und starten Sie die Dienste für die Zertifikaterstellung, Weitergabe und Speicherung. 
    service-control --stop --all
service-control --start vmafdd
service-control --start vmdird
service-control --start vmcad
  4. Veröffentlichen Sie das benutzerdefinierte Stammzertifikat. 
    dir-cli trustedcert publish --cert <my_custom_root>
    Wenn Sie in der Befehlszeile keinen Benutzernamen und kein Kennwort eingeben, werden Sie zur Eingabe dieser Informationen aufgefordert.
  5. Starten Sie alle Dienste neu. 
    service-control --start --all

Nächste Maßnahme

Sie können das ursprüngliche VMCA-Root-Zertifikat aus dem Zertifikatspeicher entfernen, wenn die Unternehmensrichtlinien dies verlangen. In diesem Fall müssen Sie das vCenter Single Sign-On-Zertifikat aktualisieren. Weitere Informationen hierzu finden Sie unter Ersetzen eines vCenter Server-STS-Zertifikats über die Befehlszeile.