Sie können das Dienstprogramm vSphere Certificate Manager verwenden, um alle Zertifikate durch benutzerdefinierte Zertifikate zu ersetzen. Bevor Sie den Vorgang starten, müssen Sie Zertifikatssignieranforderungen (CSRs) an Ihre Zertifizierungsstelle (CA) senden. Sie können Certificate Manager zum Generieren der CSRs verwenden.

Eine Option besteht darin, nur das Maschinen-SSL-Zertifikat zu ersetzen und die durch VMCA bereitgestellten Lösungsbenutzerzertifikate zu verwenden. Lösungsbenutzerzertifikate werden nur für die Kommunikation zwischen vSphere-Komponenten verwendet.

Wenn Sie benutzerdefinierte Zertifikate verwenden, werden die VMCA-signierten Zertifikate durch benutzerdefinierte Zertifikate ersetzt. Sie können den vSphere Client, das vSphere Certificate Manager-Dienstprogramm oder CLIs zum manuellen Ersetzen von Zertifikaten verwenden. Zertifikate werden in VECS gespeichert.

Um alle Zertifikate durch benutzerdefinierte Zertifikate zu ersetzen, müssen Sie das Dienstprogramm vSphere Certificate Manager mehrmals ausführen. Allgemeine Schritte zum Ersetzen von Maschinen-SSL-Zertifikaten und Lösungsbenutzerzertifikaten:

  1. Dienstprogramm vSphere Certificate Manager starten.
  2. Separates Generieren von Zertifikatssignieranforderungen für das Maschinen-SSL-Zertifikat und die Lösungsbenutzerzertifikate auf jeder Maschine.
    1. Um CSRs für das Maschinen-SSL-Zertifikat zu generieren, wählen Sie Option 1 zum Ersetzen des Maschinen-SSL-Zertifikats durch ein benutzerdefiniertes Zertifikat aus. Wenn Sie erneut zur Eingabe einer Option aufgefordert werden, wählen Sie Option 1 zum Generieren von Zertifikatsignieranforderungen und Schlüsseln für das Maschinen-SSL-Zertifikat aus.
    2. Wenn eine Unternehmensrichtlinie keine Hybridbereitstellung zulässt, wählen Sie Option 5 zum Ersetzen der Lösungsbenutzerzertifikate durch benutzerdefinierte Zertifikate aus.
  3. Die CSR an die externe Zertifizierungsstelle oder die Unternehmenszertifizierungsstelle übermitteln. Sie erhalten ein signiertes Zertifikat und ein Rootzertifikat von der Zertifizierungsstelle.
  4. Nachdem Sie die signierten Zertifikate und das Rootzertifikat von Ihrer Zertifizierungsstelle erhalten haben, ersetzen Sie das Maschinen-SSL-Zertifikat auf jeder Maschine mithilfe von Option 1 zum Ersetzen der Maschinen-SSL-Zertifikate durch benutzerdefinierte Zertifikate.
  5. Wenn Sie auch die Lösungsbenutzerzertifikate ersetzen möchten, wählen Sie Option 5 zum Ersetzen der Lösungsbenutzerzertifikate durch benutzerdefinierte Zertifikate aus.
  6. Wenn schließlich mehrere vCenter Server-Instanzen in der Konfiguration des erweiterten verknüpften Modus verbunden sind, wiederholen Sie den Vorgang auf jedem Knoten.

Generieren von Zertifikatssignieranforderungen mit dem Zertifikatmanager (benutzerdefinierte Zertifikate)

Mit dem Dienstprogramm vSphere Certificate Manager können Sie Zertifikatssignieranforderungen (Certificate Signing Requests, CSRs) generieren, die Sie anschließend mit Ihrer Unternehmenszertifizierungsstelle verwenden oder an eine externe Zertifizierungsstelle senden können. Sie können die Zertifikate mit den unterschiedlichen unterstützten Ersetzungsvorgängen von Zertifikaten verwenden.

Voraussetzungen

vSphere Certificate Manager fordert Sie zur Eingabe von Informationen auf. Die Eingabeaufforderungen sind abhängig von Ihrer Umgebung und vom Zertifikatstyp, den Sie ersetzen möchten.

  • Beim Generieren von Zertifikatssignieranforderungen werden Sie generell aufgefordert, das Kennwort für den Benutzer „administrator@vsphere.local“ bzw. den Administrator für die vCenter Single Sign On-Domäne, mit der Sie eine Verbindung herstellen, einzugeben.
  • Sie werden zur Eingabe des Hostnamens oder der IP-Adresse des vCenter Server aufgefordert.
  • Zum Generieren einer Zertifikatssignieranforderung für ein Maschinen-SSL-Zertifikat werden Sie zur Eingabe von Zertifikateigenschaften aufgefordert, die in der Datei certool.cfg gespeichert sind. Für die meisten Felder können Sie den Standardwert übernehmen oder aber standortspezifische Werte eingeben. Der FQDN der Maschine ist erforderlich.
    Hinweis: Ab vSphere 8.0 wird die Schlüsselgröße standardmäßig von 2048 zu 3072 geändert, wenn Sie die CSR mit vCenter Server generieren.

Prozedur

  1. Melden Sie sich bei jedem vCenter Server (der vCenter Server-Shell) an und starten Sie vSphere Certificate Manager.
    /usr/lib/vmware-vmca/bin/certificate-manager
  2. Wählen Sie Option 1 „Maschinen-SSL-Zertifikat durch ein benutzerdefiniertes Zertifikat ersetzen“ aus.
  3. Geben Sie den Benutzernamen und das Kennwort für den Administrator ein.
  4. Wählen Sie Option 1 „Zertifikatsignieranforderung(en) und Schlüssel für Maschinen-SSL-Zertifikat generieren“ aus, um die CSR zu generieren, beantworten Sie die Eingabeaufforderungen und beenden Sie vSphere Certificate Manager.
    Im Rahmen dieses Vorgangs müssen Sie ein Verzeichnis angeben. vSphere Certificate Manager platziert das Zertifikat und die Schlüsseldateien im Verzeichnis.
  5. Wenn Sie auch alle Lösungsbenutzerzertifikate ersetzen möchten, starten Sie vSphere Certificate Manager erneut und wählen Sie Option 5 „Lösungsbenutzerzertifikate durch benutzerdefiniertes Zertifikat ersetzen“ aus.
  6. Geben Sie, wenn Sie dazu aufgefordert werden, das Kennwort sowie die IP-Adresse oder den Hostnamen für den vCenter Server ein.
  7. Wählen Sie Option 1 „Zertifikatsignieranforderung(en) und Schlüssel für Lösungsbenutzerzertifikate generieren“ aus, um die CSRs zu generieren, beantworten Sie die Eingabeaufforderungen und beenden Sie vSphere Certificate Manager.
    Im Rahmen dieses Vorgangs müssen Sie ein Verzeichnis angeben. Certificate Manager speichert die Zertifikats- und Schlüsseldateien in dem Verzeichnis.

Nächste Maßnahme

Informationen zum Ersetzen von Zertifikaten finden Sie unter Ersetzen des Maschinen-SSL-Zertifikats durch ein benutzerdefiniertes Zertifikat mithilfe des Certificate Manager.

Ersetzen des Maschinen-SSL-Zertifikats durch ein benutzerdefiniertes Zertifikat mithilfe des Certificate Manager

Sie können das Dienstprogramm vSphere Certificate Manager verwenden, um das Maschinen-SSL-Zertifikat auf jedem Knoten durch ein benutzerdefiniertes Zertifikat zu ersetzen. Das Maschinen-SSL-Zertifikat wird vom Reverse-Proxy-Dienst auf jedem vCenter Server-Knoten verwendet. Für jede Maschine ist ein Maschinen-SSL-Zertifikat für die sichere Kommunikation mit anderen Diensten erforderlich.

Voraussetzungen

Bevor Sie beginnen, benötigen Sie eine Zertifikatssignieranforderung (CSR) für jede Maschine in Ihrer Umgebung. Sie können die CSR mit vSphere Certificate Manager oder explizit generieren.

  1. Weitere Informationen zum Generieren einer CSR mit vSphere Certificate Manager finden Sie unter Generieren von Zertifikatssignieranforderungen mit dem Zertifikatmanager (benutzerdefinierte Zertifikate).
  2. Um die CSR explizit zu generieren, fordern Sie für jede Maschine ein Zertifikat von Ihrer Drittanbieter- oder Unternehmenszertifizierungsstelle an. Das Zertifikat muss die folgenden Anforderungen erfüllen:
    • Schlüsselgröße: 2048 Bit (Minimum) bis 16384 Bit (Maximum) (PEM-codiert)
    • CRT-Format
    • x509 Version 3
    • „SubjectAltName“ muss DNS-Name=<Maschinen-FQDN> enthalten.
    • Enthält die folgenden Schlüsselverwendungen: digitale Signatur, Schlüsselverschlüsselung

Weitere Informationen finden Sie auch im VMware-Knowledgebase-Artikel unter http://kb.vmware.com/kb/2112014, „Obtaining vSphere certificates from a Microsoft Certificate Authority“.

Prozedur

  1. Melden Sie sich beim vCenter Server an und starten Sie den vSphere Certificate Manager.
    /usr/lib/vmware-vmca/bin/certificate-manager
  2. Wählen Sie Option 1 „Maschinen-SSL-Zertifikat durch ein benutzerdefiniertes Zertifikat ersetzen“ aus.
  3. Geben Sie den Benutzernamen und das Kennwort für den Administrator ein.
  4. Wählen Sie Option 2 zum Importieren von benutzerdefinierten Zertifikaten und Schlüsseln aus, um das vorhandene Maschinen-SSL-Zertifikat zu ersetzen, um die Zertifikatsersetzung zu starten, und befolgen Sie die Eingabeaufforderungen.
    vSphere Certificate Manager fordert Sie zur Eingabe der folgenden Informationen auf:
    • Kennwort für „administrator@vsphere.local“
    • Gültiges benutzerdefiniertes Maschinen-SSL-Zertifikat (.crt-Datei)
    • Gültiger benutzerdefinierter Maschinen-SSL-Schlüssel (.key-Datei)
    • Gültiges Signaturzertifikat für das benutzerdefinierte Maschinen-SSL-Zertifikat (.crt-Datei)
    • IP-Adresse des vCenter Server

Ersetzen von Lösungsbenutzerzertifikaten durch benutzerdefinierte Zertifikate mithilfe des Certificate Manager

Viele Unternehmen möchten lediglich Zertifikate zu Diensten ersetzen lassen, die extern zugänglich sind. Das Dienstprogramm vSphere Certificate Manager unterstützt jedoch auch das Ersetzen von Lösungsbenutzerzertifikaten. Lösungsbenutzer sind Sammlungen von Diensten, z. B. alle Dienste, die mit dem vSphere Client verknüpft sind.

Wenn Sie zur Eingabe eines Lösungsbenutzerzertifikats aufgefordert werden, geben Sie die vollständige Signaturzertifikatkette der Drittanbieterzertifizierungsstelle an.

Das Format sieht so oder ähnlich aus:
-----BEGIN CERTIFICATE-----
Signing certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
CA intermediate certificates
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Root certificate of enterprise or external CA
-----END CERTIFICATE-----

Voraussetzungen

Bevor Sie beginnen, benötigen Sie eine Zertifikatssignieranforderung (CSR) für jede Maschine in Ihrer Umgebung. Sie können die CSR mit vSphere Certificate Manager oder explizit generieren.

  1. Weitere Informationen zum Generieren einer CSR mit vSphere Certificate Manager finden Sie unter Generieren von Zertifikatssignieranforderungen mit dem Zertifikatmanager (benutzerdefinierte Zertifikate).
  2. Fordern Sie von Ihrer Drittanbieter- oder Unternehmenszertifizierungsstelle ein Zertifikat für jeden Benutzer der Lösung auf jedem Knoten an. Sie können die CSR mit vSphere Certificate Manager oder selbst generieren. Die CSR muss die folgenden Anforderungen erfüllen:
    • Schlüsselgröße: 2048 Bit (Minimum) bis 16384 Bit (Maximum) (PEM-codiert)
    • CRT-Format
    • x509 Version 3
    • „SubjectAltName“ muss DNS-Name=<Maschinen-FQDN> enthalten.
    • Für jedes Lösungsbenutzerzertifikat ist ein unterschiedlicher Wert für Subject erforderlich. Geben Sie beispielsweise den Lösungsbenutzernamen (z. B. vpxd) oder einen anderen eindeutigen Bezeichner an.

    • Enthält die folgenden Schlüsselverwendungen: digitale Signatur, Schlüsselverschlüsselung

Weitere Informationen finden Sie auch im VMware-Knowledgebase-Artikel unter http://kb.vmware.com/kb/2112014, „Obtaining vSphere certificates from a Microsoft Certificate Authority“.

Prozedur

  1. Melden Sie sich beim vCenter Server an und starten Sie den vSphere Certificate Manager.
    /usr/lib/vmware-vmca/bin/certificate-manager
  2. Wählen Sie Option 5 zum Ersetzen von Lösungsbenutzerzertifikaten durch ein benutzerdefiniertes Zertifikat aus.
  3. Geben Sie den SSO-Benutzer und das Kennwort ein.
  4. Wählen Sie Option 2 zum Importieren von benutzerdefinierten Zertifikaten und Schlüsseln aus, um vorhandene Lösungsbenutzerzertifikate zu ersetzen, und befolgen Sie die Eingabeaufforderungen.
    vSphere Certificate Manager fordert Sie zur Eingabe der folgenden Informationen auf:
    • Kennwort für „administrator@vsphere.local“
    • Zertifikat und Schlüssel für Lösungsbenutzer „machine“
    • Zertifikat und Schlüssel (vpxd.crt und vpxd.key) für den Lösungsbenutzer „machine“
    • Vollständiger Satz an Zertifikaten und Schlüsseln (vpxd.crt und vpxd.key) für alle Lösungsbenutzer