Sie können Zertifikate mithilfe des vSphere Client anzeigen und überwachen. Sie können auch viele Zertifikatsverwaltungsaufgaben mit dem Dienstprogramm vSphere Certificate Manager durchführen.
Der
vSphere Client ermöglicht Ihnen die Durchführung dieser Verwaltungsaufgaben.
- Zeigen Sie die Maschinen-SSL-, vertrauenswürdigen Root- und Security Token Service (STS)-Zertifikate der Maschine an.
- Fügen Sie neue vertrauenswürdige Root-Zertifikate hinzu und erneuern oder ersetzen Sie vorhandene Maschinen-SSL- und STS-Zertifikate.
- Generieren Sie eine benutzerdefinierte Zertifikatsignieranforderung (CSR) für ein Maschinen-SSL-Zertifikat, und ersetzen Sie das Zertifikat, wenn es von der Zertifizierungsstelle zurückgegeben wird.
Die meisten Abschnitte der Workflows zur Zertifikatsersetzung werden vom vSphere Client vollständig unterstützt. Zum Generieren von CSRs für Maschinen-SSL-Zertifikate können Sie entweder den vSphere Client oder das Dienstprogramm „Certificate Manage“ verwenden.
Unterstützte Workflows
Nach dem Installieren eines vCenter Server stellt die VMware Certificate Authority auf diesem Knoten allen anderen Knoten in der Umgebung standardmäßig Zertifikate bereit. Aktuelle Empfehlungen zum Verwalten von Zertifikaten finden Sie unter vSphere-Sicherheitszertifikate.
Zum Verlängern oder Ersetzen von Zertifikaten können Sie einen der folgenden Workflows verwenden.
- Zertifikate erneuern
- Sie können die Maschinen-SSL-, Lösungsbenutzer- und STS-Zertifikate in Ihrer Umgebung aus dem vSphere Client von VMCA erneuern lassen.
- VMCA zu einer Zwischenzertifizierungsstelle machen
- Sie können eine Zertifikatsignieranforderung (Certificate Signing Request, CSR) mit dem Dienstprogramm vSphere Certificate Manager generieren. Danach können Sie das Zertifikat der CSR bearbeiten, um VMCA zur Zertifikatskette hinzuzufügen, und anschließend die Zertifikatskette und den privaten Schlüssel zu Ihrer Umgebung hinzufügen. Wenn Sie anschließend alle Zertifikate verlängern, stellt VMCA für alle Maschinen und Lösungsbenutzer Zertifikate bereit, die von der vollständigen Zertifikatskette signiert sind.
- Zertifikate durch benutzerdefinierte Zertifikate ersetzen
- Wenn Sie VMCA nicht verwenden möchten, können Sie CSRs für die zu ersetzenden Zertifikate generieren. Der Zertifizierungsstelle gibt für jede CSR ein Rootzertifikat und ein signiertes Zertifikat zurück. Sie können das Rootzertifikat und die benutzerdefinierten Zertifikate aus dem vCenter Server hochladen.
Hinweis: Wenn Sie VMCA als Zwischenzertifizierungsstelle verwenden oder wenn Sie benutzerdefinierte Zertifikate verwenden, bringt dies möglicherweise eine erhebliche Komplexität und das Potenzial für Beeinträchtigungen Ihrer Sicherheit sowie einen unnötigen Anstieg Ihres Betriebsrisikos mit sich. Weitere Informationen zum Verwalten von Zertifikaten innerhalb einer vSphere-Umgebung finden Sie im Blogbeitrag mit dem Titel
New Product Walkthrough - Hybrid vSphere SSL Certificate Replacement (Neuer Produktfunktionstest - Ersetzen von hybriden vSphere-SSL-Zertifikaten) unter
http://vmware.com/go/hybridvmca.