Die für das Einrichten oder Aktualisieren der vSphere-Zertifikatinfrastruktur erforderliche Arbeit ist abhängig von den Anforderungen in Ihrer Umgebung. Dabei müssen Sie berücksichtigen, ob es sich um eine Neuinstallation oder ein Upgrade handelt und ob Sie ESXi oder vCenter Server verwenden möchten.

Umgebungen, die VMware Certificate Authority-Zertifikate verwenden

VMware Certificate Authority (VMCA) kann die gesamte Zertifikatsverwaltung verarbeiten. VMCA stellt vCenter Server-Komponenten und ESXi-Hosts Zertifikate bereit, die VMCA als Root-Zertifizierungsstelle verwenden. Wenn Sie ein Upgrade auf vSphere 6.0 oder höher von einer früheren Version von vSphere durchführen, werden alle selbstsignierten Zertifikate durch Zertifikate ersetzt, die durch VMCA signiert wurden.

Wenn Sie derzeit keine VMware-Zertifikate ersetzen, verwendet Ihre Umgebung VMCA-signierte Zertifikate anstatt selbstsignerte Zertifikate.

Umgebungen mit benutzerdefinierten Zertifikaten

Wenn Ihre Firmenrichtlinie Zertifikate erfordert, die von einer Drittanbieter- oder Unternehmenszertifizierungsstelle signiert wurden oder für die benutzerdefinierte Zertifikatsinformationen erforderlich sind, stehen Ihnen zahlreiche Optionen für eine Neuinstallation zur Verfügung.

  • Lassen Sie das VMCA-Root-Zertifikat von einer Drittanbieter- oder Unternehmenszertifizierungsstelle signieren. Ersetzen Sie das VMCA-Root-Zertifikat durch dieses signierte Zertifikat. In diesem Szenario handelt es sich beim VMCA-Zertifikat um ein Zwischenzertifikat. VMCA stellt vCenter Server-Komponenten und ESXi-Hosts Zertifikate bereit, die die vollständige Zertifikatskette beinhalten.
  • Wenn Ihre Unternehmensrichtlinie keine Zwischenzertifikate in der Zertifikatskette zulässt, müssen Sie Zertifikate explizit ersetzen. Sie können den vSphere Client oder das Dienstprogramm vSphere Certificate Manager verwenden oder Zertifikate mithilfe der Zertifikatsverwaltungs-CLIs manuell ersetzen.

Beim Upgrade einer Umgebung, die benutzerdefinierte Zertifikate verwendet, können Sie einige Zertifikate beibehalten.

  • ESXi-Hosts behalten ihre benutzerdefinierten Zertifikate während des Upgrades bei. Stellen Sie sicher, dass beim Upgrade von vCenter Server alle relevanten Root-Zertifikate zum TRUSTED_ROOTS-Speicher im VMware Certificate Endpoint Store (VECS) unter vCenter Server hinzugefügt werden.

    Nach dem Upgrade auf vSphere 6.0 oder höher können Sie den Zertifikatmodus auf Benutzerdefiniert festlegen. Wenn der Zertifikatsmodus „VMCA“ lautet (Standardwert) und Sie über den vSphere Client ein Zertifikat aktualisieren, werden die benutzerdefinierten Zertifikate durch VMCA-signierte Zertifikate ersetzt.

  • Bei einem Upgrade einer einfachen vCenter Server-Installation auf einer eingebetteten Bereitstellung behält vCenter Server benutzerdefinierte Zertifikate bei. Die Funktionsweise der Umgebung ist nach dem Upgrade unverändert. Die vorhandenen vCenter Server- und vCenter Single Sign On-Zertifikate werden beibehalten. Die Zertifikate dienen als Maschinen-SSL-Zertifikate. Darüber hinaus weist VMCA jedem Lösungsbenutzer ein VMCA-signiertes Zertifikat zu (Sammlung von vCenter-Diensten). Der Lösungsbenutzer verwendet dieses Zertifikat nur für die Authentifizierung bei vCenter Single Sign On. VMware empfiehlt nicht, Lösungsbenutzerzertifikate zu ersetzen.

vSphere-Zertifikatschnittstellen

Für vCenter Server können Sie Zertifikate mit den folgenden Tools und Schnittstellen anzeigen und ersetzen.
Tabelle 1. Schnittstellen für die Verwaltung von vCenter Server-Zertifikaten
Schnittstelle Verwenden
vSphere Client Führen Sie gängige Zertifikataufgaben mit einer grafischen Benutzeroberfläche durch.
vSphere Automation-API Weitere Informationen finden Sie im Programmierhandbuch zu den VMware vSphere Automation SDKs.
vSphere Certificate Manager-Dienstprogramm Führen Sie gängige Zertifikatersetzungsaufgaben über die Befehlszeile der vCenter Server-Installation durch.
vSphere-Zertifikatsverwaltungs-CLIs Führen Sie alle Zertifikatsverwaltungsaufgaben mit dir-cli, certool und vecs-cli aus.
sso-config-Dienstprogramm Führen Sie STS-Zertifikatsverwaltung über die Befehlszeile der vCenter Server-Installation durch.
PowerCLI 12.4 oder höher (erfordert auch vSphere 7.0 oder höher) Führen Sie die Verwaltung vertrauenswürdiger Zertifikatspeicher durch, verwalten Sie vCenter Server-Maschinen-SSL-Zertifikate und verwalten Sie ESXi-Maschinen-SSL-Zertifikate.

Für ESXi führen Sie die Zertifikatsverwaltung über den vSphere Client aus. VMCA stellt Zertifikate bereit und speichert sie lokal auf dem ESXi-Host. VMCA speichert ESXi-Hostzertifikate nicht in VMDIR oder in VECS. Informationen finden Sie in der Dokumentation vSphere-Sicherheit.

Unterstützte vCenter Server-Zertifikate

Für vCenter Server und zugehörige Maschinen und Dienste werden die folgenden Zertifikate unterstützt:

  • Zertifikate, die von VMware Certificate Authority (VMCA) generiert und signiert werden.
  • Benutzerdefinierte Zertifikate.
    • Unternehmenszertifikate, die von Ihrer eigenen internen PKI generiert werden.
    • Von einer Zertifizierungsstelle eines Drittanbieters signierte Zertifikate, die von einer externen PKI wie etwa Verisign, GoDaddy usw. generiert werden.

Mithilfe von OpenSSL erstellte selbstsignierte Zertifikate, bei denen es keine Root-Zertifizierungsstelle gibt, werden nicht unterstützt.