Sie können je nach der Unternehmensrichtlinie und den Anforderungen für das System, das Sie konfigurieren, verschiedene Arten von Zertifikatsersetzungen ausführen. Sie können die Zertifikatersetzung über vSphere Client mit dem Dienstprogramm vSphere Certificate Manager oder manuell über die Befehlszeilenschnittstellen durchführen, die Teil Ihrer Installation sind.

Die VMware Certificate Authority (VMCA) ist in jeder vCenter Server-Bereitstellung enthalten. VMCA stellt jeden Knoten, jeden vCenter Server-Lösungsbenutzer und jeden ESXi-Host mit einem Zertifikat bereit, das von VMCA als Zertifizierungsstelle signiert wurde.

Sie können die Standardzertifikate ersetzen. Für vCenter Server-Komponenten können Sie einen Satz von Befehlszeilen-Tools verwenden, die bei Ihrer Installation enthalten sind. Es stehen mehrere Optionen zur Verfügung.

Hinweis: Wenn Ihr vCenter Server mit NSX-T Manager verknüpft ist und Sie vCenter Server-Zertifikate ersetzen, müssen Sie den Fingerabdruck des vCenter Server-Compute Manager aktualisieren. Weitere Informationen finden Sie im Thema „Hinzufügen eines Compute Managers“ im NSX-T Data Center Migrationskoordinator-Handbuch.

Ersetzen von Zertifikaten durch VMCA-signierte Zertifikate

Wenn Ihr VMCA-Zertifikat abläuft oder wenn Sie es aus anderen Gründen ersetzen möchten, können Sie dazu die Befehlszeilenschnittstellen zur Zertifikatsverwaltung verwenden. Standardmäßig läuft das VMCA-Rootzertifikat nach zehn Jahren ab, und alle von VMCA signierten Zertifikate laufen gleichzeitig mit dem Rootzertifikat ab, also nach maximal zehn Jahren.

Abbildung 1. Von VMCA signierte Zertifikate werden in VECS gespeichert
Im Standardmodus stellt VMCA durch VMCA signierte Zertifikate zur Verfügung.
Sie können die folgenden Optionen von vSphere Certificate Manager verwenden:
  • Ersetzen des Maschinen-SSL-Zertifikats durch VMCA-Zertifikat
  • Ersetzen des Lösungsbenutzerzertifikats durch VMCA-Zertifikat

Informationen zur manuellen Zertifikatsersetzung finden Sie unter Ersetzen der vorhandenen VMCA-signierten Zertifikate durch neue VMCA-signierte Zertifikate anhand der CLI.

Festlegen von VMCA als Zwischenzertifizierungsstelle

Sie können das VMCA-Rootzertifikat durch ein Zertifikat ersetzen, das durch eine Zertifizierungsstelle (CA) eines Unternehmens oder Drittanbieters signiert wurde. Die VMCA signiert das benutzerdefinierte Rootzertifikat immer, wenn sie Zertifikate zur Verfügung stellt, und macht so aus der VMCA eine Zwischenzertifizierungsstelle.
Hinweis: Wenn Sie eine Neuinstallation mit vCenter Server durchführen, ersetzen Sie vor dem Hinzufügen von ESXi-Hosts das VMCA-Rootzertifikat. In diesem Fall signiert VMCA die ganze Kette, und Sie brauchen keine neuen Zertifikate zu generieren.
Abbildung 2. Zertifikate, die durch eine Zertifizierungsstelle eines Drittanbieters oder Unternehmens signiert wurden, verwenden VMCA als Zwischenzertifizierungsstelle
Das VMCA-Zertifikat ist als Zwischenzertifikat enthalten. Das Rootzertifikat ist durch eine Drittanbieter-Zertifizierungsstelle signiert.
Sie können die folgenden Optionen von vSphere Certificate Manager verwenden:
  • Ersetzen des VMCA-Rootzertifikats durch ein benutzerdefiniertes Signaturzertifikat und Ersetzen aller Zertifikate
  • Ersetzen des Maschinen-SSL-Zertifikats durch das VMCA-Zertifikat (Bereitstellung mit mehreren Knoten im erweiterten verknüpften Modus)
  • Ersetzen des Lösungsbenutzerzertifikats durch das VMCA-Zertifikat (Bereitstellung mit mehreren Knoten im erweiterten verknüpften Modus)

Informationen zur manuellen Zertifikatsersetzung finden Sie unter Festlegen von VMCA als Zwischenzertifizierungsstelle mithilfe der CLI.

Ersetzen von VMCA-signierten Zertifikaten durch benutzerdefinierte Zertifikate

Sie können die vorhandenen VMCA-signierten Zertifikate durch benutzerdefinierte Zertifikate ersetzen. In diesem Fall sind Sie für die Bereitstellung und Überwachung aller Zertifikate verantwortlich.

Abbildung 3. Speichern externer Zertifikate direkt in VECS
Externe Zertifikate werden direkt in VECS gespeichert. VMCA wird nicht verwendet.
Sie können die folgenden Optionen von vSphere Certificate Manager verwenden:
  • Ersetzen des Maschinen-SSL-Zertifikats durch ein benutzerdefiniertes Zertifikat
  • Ersetzen der Lösungsbenutzerzertifikate durch benutzerdefinierte Zertifikate

Informationen zur manuellen Zertifikatsersetzung finden Sie unter Ersetzen von Zertifikaten durch benutzerdefinierte Zertifikate mithilfe der CLI.

Sie können auch den vSphere Client verwenden, um eine CSR für ein Maschinen-SSL-Zertifikat (benutzerdefiniert) zu generieren und das Zertifikat, nachdem es von der Zertifizierungsstelle zurückgegeben wurde, ersetzen. Weitere Informationen hierzu finden Sie unter Generieren einer Zertifikatssignieranforderung (Certificate Signing Request, CSR) für ein Maschinen-SSL-Zertifikat mithilfe des vSphere Client (benutzerdefinierte Zertifikate).

Verwenden des hybriden Ansatzes für die Zertifikatbereitstellung

Beim hybriden Ansatz können Sie für bestimmte Teile Ihrer Infrastruktur VMCA-Zertifikate und für andere Teile Ihrer Infrastruktur benutzerdefinierte Zertifikate verwenden. Beispiel: Weil Lösungsbenutzerzertifikate nur zum Authentifizieren bei vCenter Single Sign On verwendet werden, empfiehlt es sich, diese Zertifikate durch VMCA bereitstellen zu lassen. Ersetzen Sie die Maschinen-SSL-Zertifikate durch benutzerdefinierte Zertifikate, um den ganzen SSL-Datenverkehr abzusichern.

Die Unternehmensrichtlinien lassen häufig keine Zwischenzertifizierungsstellen zu. In diesen Fällen ist die Hybrid-Bereitstellung eine geeignete Lösung. Hiermit wird die Anzahl der zu ersetzenden Zertifikate reduziert und der gesamte Verkehr gesichert. Bei der Hybrid-Bereitstellung kann lediglich interner Verkehr, d. h. Verkehr von Lösungsbenutzern, die VMCA-signierten Standardzertifikate verwenden.

Weitere Informationen finden Sie im Blogbeitrag mit dem Titel New Product Walkthrough - Hybrid vSphere SSL Certificate Replacement (Neuer Produktfunktionstest - Ersetzen von hybriden vSphere-SSL-Zertifikaten) unter http://vmware.com/go/hybridvmca.

ESXi-Zertifikatsersetzung

Für ESXi-Hosts können Sie die Methode der Zertifikatsbereitstellung über den vSphere Client ändern. Weitere Informationen finden Sie in der Dokumentation vSphere-Sicherheit.

Tabelle 1. ESXi Optionen zur Zertifikatersetzung
Option Beschreibung
Modus „VMware Certificate Authority“ (Standard) Wenn Sie Zertifikate über den vSphere Client erneuern, gibt VMCA die Zertifikate für die Hosts aus. Wenn Sie das VMCA-Rootzertifikat geändert haben, sodass eine Zertifikatskette enthalten ist, enthalten die Hostzertifikate die vollständige Kette.
Modus „Benutzerdefinierte Zertifizierungsstelle“ Damit können Sie Zertifikate, die nicht von VMCA signiert oder ausgegeben wurden, manuell aktualisieren und verwenden.
Fingerabdruckmodus Kann verwendet werden, um 5.5-Zertifikate beim Aktualisieren beizubehalten. Verwenden Sie diesen Modus nur vorübergehend in Debugging-Situationen.