Standardmäßig stattet der Auto Deploy-Server jeden Host mit Zertifikaten aus, die von VMCA signiert wurden. Sie können den Auto Deploy-Server jedoch auch so konfigurieren, dass er alle Hosts mit nicht von VMCA signierten Zertifikaten ausstattet. Dabei wird der Auto Deploy-Server zu einer Zwischenzertifizierungsstelle für Ihre Drittanbieter-Zertifizierungsstelle.

Voraussetzungen

  • Fordern Sie ein Zertifikat von Ihrer Zertifizierungsstelle an. Die Zertifikatsdatei muss die folgenden Anforderungen erfüllen.
    • Schlüsselgröße: 2048 Bit (Minimum) bis 16384 Bit (Maximum) (PEM-codiert)
    • PEM-Format. VMware unterstützt PKCS8 und PKCS1 (RSA-Schlüssel). Wenn Schlüssel zu VECS hinzugefügt werden, werden sie in PKCS8 konvertiert.
    • x509 Version 3
    • Für Stammzertifikate muss die Zertifizierungsstellenerweiterung auf „true“ festgelegt sein, und „cert sign“ muss in der Liste der Anforderungen vorhanden sein.
    • „SubjectAltName“ muss DNS-Name=<Maschinen-FQDN> enthalten.
    • CRT-Format
    • Enthält die folgenden Schlüsselverwendungen: Digitale Signatur, Unleugbarkeit, Schlüsselverschlüsselung
    • Startzeit von einem Tag vor dem aktuellen Zeitpunkt.
    • CN (und SubjectAltName) auf den Hostnamen (oder die IP-Adresse) festgelegt, den/die der ESXi-Host in der vCenter Server-Bestandsliste hat.
  • Benennen Sie die Zertifikatdatei als rbd-ca.crt und die Schlüsseldatei als rbd-ca.key.

Prozedur

  1. Sichern Sie die standardmäßigen ESXi-Zertifikate.
    Die Zertifikate befinden sich im Verzeichnis /etc/vmware-rbd/ssl/.
  2. Halten Sie den vSphere Authentication Proxy-Dienst an.
    Tool Schritte
    vCenter Server-Verwaltungsschnittstelle
    1. Navigieren Sie in einem Webbrowser zur vCenter Server-Verwaltungsschnittstelle (https://vcenter-IP-adresse-oder-FQDN:5480).
    2. Melden Sie sich als „root“ an.

      Das standardmäßige Root-Kennwort ist das Kennwort, das Sie während der Bereitstellung der vCenter Server festlegen.

    3. Klicken Sie auf Dienste und anschließend auf den VMware vSphere Authentication Proxy-Dienst.
    4. Klicken Sie auf Beenden.
    Befehlszeilenschnittstelle 
    service-control --stop vmcam
  3. Ersetzen Sie auf dem System, auf dem der Auto Deploy-Dienst ausgeführt wird, die Dateien rbd-ca.crt und rbd-ca.key in /etc/vmware-rbd/ssl/ durch Ihr benutzerdefiniertes Zertifikat bzw. die Schlüsseldateien.
  4. Führen Sie auf dem System, auf dem der Dienst „Automatischer Einsatz“ ausgeführt wird, den folgenden Befehl aus, um den TRUSTED_ROOTS-Speicher in VECS zu aktualisieren und Ihre neuen Zertifikate nutzen zu können. 
    /usr/lib/vmware-vmafd/bin/dir-cli trustedcert publish --cert /etc/vmware-rbd/ssl/rbd-ca.crt
/usr/lib/vmware-vmafd/bin/vecs-cli force-refresh
  5. Erstellen Sie die Datei castore.pem, die den Inhalt des TRUSTED_ROOTS-Speichers enthält, und fügen Sie sie in das Verzeichnis /etc/vmware-rbd/ssl/ ein.
    Im benutzerdefinierten Modus sind Sie für die Wartung dieser Datei verantwortlich.
  6. Ändern Sie den ESXi-Zertifikatmodus für das vCenter Server-System in benutzerdefiniert.
    Weitere Informationen hierzu finden Sie unter Ändern des Zertifikatmodus.
  7. Starten Sie den vCenter Server-Dienst neu und starten Sie den Auto Deploy-Dienst.

Ergebnisse

Das nächste Mal, wenn Sie einen für die Verwendung von Auto Deploy eingerichteten Host bereitstellen, generiert der Auto Deploy-Server ein Zertifikat. Der Server zur automatischen Bereitstellung verwendet das Root-Zertifikat, das Sie zum TRUSTED_ROOTS-Speicher hinzugefügt haben.

Hinweis: Wenn Sie Probleme mit dem automatischen Einsatz nach der Zertifikatsersetzung haben, lesen Sie sich den VMware-Knowledgebase-Artikel unter http://kb.vmware.com/kb/2000988 durch.