Die VMware Certificate Authority (VMCA) stellt für jeden neuen ESXi-Host ein signiertes Zertifikat bereit, dessen Rootzertifizierungsstelle standardmäßig die VMCA ist. Diese Bereitstellung findet statt, wenn der Host explizit oder im Zuge der Installation von ESXi 6.0 oder höher bzw. eines Upgrades auf diese Versionen zu vCenter Server hinzugefügt wird.
Sie können ESXi-Zertifikate in vSphere Client und über die vim.CertificateManager-API im vSphere Web Services SDK anzeigen und verwalten. Es ist nicht möglich, ESXi-Zertifikate mithilfe von Management-CLIs für vCenter Server-Zertifikate anzuzeigen oder zu verwalten.
Zertifikate in vSphere 6.0 und höher
Bei der Kommunikation zwischen ESXi und vCenter Server kommt TLS für beinahe den gesamten Verwaltungsdatenverkehr zum Einsatz.
| Zertifikatmodus | Beschreibung |
|---|---|
| VMware Certificate Authority (Standard) | Verwenden Sie diesen Modus, wenn VMCA die Zertifikate für alle ESXi-Hosts bereitstellt, entweder als Zertifizierungsstelle der obersten Ebene oder als Zwischenzertifizierungsstelle. Standardmäßig liefert VMCA alle Zertifikate für ESXi-Hosts. In diesem Modus können Sie Zertifikate in vSphere Client aktualisieren und verlängern. |
| Benutzerdefinierte Zertifizierungsstelle | Verwenden Sie diesen Modus, wenn Sie ausschließlich benutzerdefinierte, von einer Drittanbieter- oder Unternehmens-Zertifizierungsstelle signierte Zertifikate verwenden möchten.
In diesem Modus sind Sie für die Verwaltung der Zertifikate verantwortlich. Hier können Sie die Zertifikate nicht in
vSphere Client aktualisieren und verlängern.
Hinweis: Wenn Sie den Zertifikatmodus nicht in „Benutzerdefinierte Zertifizierungsstelle“ ändern, kann VMCA benutzerdefinierte Zertifikate ersetzen, beispielsweise wenn Sie die Option
Verlängern in
vSphere Client wählen.
|
| Fingerabdruckmodus | vSphere 5.5 verwendete den Fingerabdruckmodus, und dieser Modus ist in vSphere 6.x nach wie vor als Notfallmodus verfügbar. In diesem Modus prüft vCenter Server, ob das Zertifikat korrekt formatiert ist, jedoch nicht die Gültigkeit des Zertifikats. Selbst abgelaufene Zertifikate werden akzeptiert. Verwenden Sie diesen Modus nur, wenn Sie auf Probleme stoßen, die in den anderen beiden Modi nicht zu beheben sind. Einige Dienste aus vCenter 6.x und höher funktionieren möglicherweise im Fingerabdruckmodus nicht korrekt. |
Zertifikatsablauf
Sie können im vSphere Client Informationen über den Ablauf von Zertifikaten anzeigen, die von VMCA oder Drittanbieter-Zertifizierungsstellen signiert wurden. Sie können Informationen zu allen Hosts, die von einem vCenter Server-System verwaltet werden, oder zu einzelnen Hosts abrufen. Ein gelber Alarm wird ausgelöst, wenn sich das Zertifikat im Status Läuft in Kürze ab (weniger als acht Monate) befindet. Ein roter Alarm wird ausgelöst, wenn sich das Zertifikat im Status Ablauf steht bevor (weniger als zwei Monate) befindet.
ESXi-Bereitstellung und VMCA
Beim Start eines ESXi-Hosts von einem Installationsmedium besitzt der Host zunächst ein automatisch generiertes Zertifikat. Sobald er dem vCenter Server-System hinzugefügt wird, erhält er ein von VMCA als Stammzertifizierungsstelle signiertes Zertifikat.
Der Vorgang ist ähnlich für Hosts, die mit Auto Deploy bereitgestellt werden. Da diese Hosts jedoch keine Statusdaten speichern, wird das signierte Zertifikat vom Auto Deploy-Server in seinem lokalen Zertifikatspeicher gespeichert. Das Zertifikat wird bei nachfolgenden Starts der ESXi-Hosts wiederverwendet. Ein Auto Deploy-Server ist Teil einer eingebetteten Bereitstellung oder eines vCenter Server-Systems.
Wenn VMCA nicht verfügbar ist, wenn ein Auto Deploy-Host zum ersten Mal startet, versucht der Host zunächst, eine Verbindung herzustellen. Wenn der Host keine Verbindung herstellen kann, durchläuft er den Herunterfahren- und Neustartzyklus so lange, bis VMCA verfügbar wird und dem Host ein signiertes Zertifikat bereitgestellt werden kann.
Erforderliche Berechtigungen für die ESXi-Zertifikatsverwaltung
Die Zertifikatsverwaltung für ESXi-Hosts erfordert das Recht . Dieses Recht können Sie über den vSphere Client festlegen.
Hostname und IP-Adresse
Eine Änderung des Hostnamens oder der IP-Adresse kann sich darauf auswirken, ob vCenter Server das Zertifikat eines Hosts als gültig erachtet oder nicht. Wie Sie den Host zu vCenter Server hinzugefügt haben bestimmt, ob ein manueller Eingriff notwendig wird. Manueller Eingriff bedeutet, dass Sie den Host neu verbinden bzw. ihn von vCenter Server abtrennen und wieder hinzufügen.
| Host zu vCenter Server hinzugefügt mithilfe ... | Änderungen des Hostnamens | Änderungen der IP-Adresse |
|---|---|---|
| Hostname | Problem bei vCenter Server-Verbindung Manueller Eingriff erforderlich | Kein Eingriff erforderlich |
| IP-Adresse | Kein Eingriff erforderlich | Problem bei vCenter Server-Verbindung Manueller Eingriff erforderlich |
