Die Sicherheitsrichtlinien Ihres Unternehmens erfordern möglicherweise, dass Sie das ESXi-Standard-SSL-Zertifikat durch ein von einer Zertifizierungsstelle (CA) signiertes Zertifikat eines Drittanbieters auf jedem Host ersetzen.

Die vSphere-Komponenten verwenden standardmäßig das VMCA-signierte Zertifikat und den Schüssel, das/der während der Installation erstellt wird. Wenn Sie versehentlich das VMCA-signierte Zertifikat löschen, entfernen Sie den Host vom vCenter Server-System und fügen Sie ihn dann wieder hinzu. Wenn Sie den Host hinzufügen, fordert der vCenter Server ein neues Zertifikat von der VMCA an und stellt es für den Host bereit.

Ersetzen Sie VMCA-signierte Zertifikate durch Zertifikate einer vertrauenswürdigen Zertifizierungsstelle, d. h. entweder einer kommerziellen Zertifizierungsstelle oder einer unternehmenseigenen Zertifizierungsstelle, wenn Ihre Unternehmensrichtlinie dies vorsieht.

Die Standardzertifikate befinden sich am selben Speicherort wie die vSphere 5.5-Zertifikate. Es gibt verschiedene Möglichkeiten, Standardzertifikate durch vertrauenswürdige Zertifikate zu ersetzen.

Hinweis: Sie können außerdem die durch vim.CertificateManager und vim.host.CertificateManager verwalteten Objekte im vSphere Web Services SDK verwenden. Siehe die Dokumentation zu vSphere Web Services SDK.

Nach dem Ersetzen des Zertifikats müssen Sie den Speicher TRUSTED_ROOTS in VECS auf dem vCenter Server-System, das den Host verwaltet, aktualisieren, um sicherzustellen, dass der vCenter Server und der ESXi-Host ein Vertrauensverhältnis haben.

Detaillierte Anweisungen zum Verwenden von CA-signierten Zertifikaten für ESXi-Hosts finden Sie unter Moduswechsel-Workflows für Zertifikate.

Hinweis: Wenn Sie SSL-Zertifikate auf einem ESXi-Host entfernen, der zu einem vSAN-Cluster gehört, führen Sie die im VMware-Knowledgebase-Artikel unter https://kb.vmware.com/s/article/56441 angegebenen Schritte durch.