Mit dem Dienstprogramm vSphere Certificate Manager können Sie VMCA als Zwischenzertifizierungsstelle zu konfigurieren. Nachdem Sie diesen Vorgang durchgeführt haben, signiert VMCA alle neuen Zertifikate mit der vollständigen Zertifikatskette. Sofern gewünscht, haben Sie auch die Möglichkeit, mit vSphere Certificate Manager alle vorhandenen Zertifikate durch neue VMCA-signierte Zertifikate zu ersetzen.

VMware empfiehlt nicht, VMCA als untergeordnete oder Zwischenzertifizierungsstelle zu betreiben. Wenn Sie diese Optionen auswählen, stoßen Sie ggf. auf erhebliche Komplexität und es besteht die Möglichkeit negativer Auswirkungen auf Ihre Sicherheit. Außerdem kann das operative Risiko unnötig ansteigen. Weitere Informationen zum Verwalten von Zertifikaten innerhalb einer vSphere-Umgebung finden Sie im Blogbeitrag mit dem Titel New Product Walkthrough - Hybrid vSphere SSL Certificate Replacement (Neuer Produktfunktionstest - Ersetzen von hybriden vSphere-SSL-Zertifikaten) unter http://vmware.com/go/hybridvmca.

Um VMCA als Zwischenzertifizierungsstelle festzulegen, müssen Sie vSphere Certificate Manager mehrmals ausführen. Allgemeine Schritte zum Ersetzen von Maschinen-SSL-Zertifikaten und Lösungsbenutzerzertifikaten:

  1. Dienstprogramm vSphere Certificate Manager starten.
  2. Eine CSR erstellen durch Ausführen von Option 2, „VMCA-Rootzertifikat durch ein benutzerdefiniertes Signaturzertifikat ersetzen“, und „Alle Zertifikate ersetzen“. Danach müssen Sie möglicherweise einige Informationen zum Zertifikat angeben. Wenn Sie erneut nach einer Option gefragt werden, wählen Sie Option 1, „Zertifikatsignieranforderung(en) und Schlüssel für VMCA-Root-Signaturzertifikat generieren“.
  3. Die CSR an die externe Zertifizierungsstelle oder die Unternehmenszertifizierungsstelle übermitteln. Sie erhalten ein signiertes Zertifikat und ein Rootzertifikat von der Zertifizierungsstelle.
  4. Das VMCA-Rootzertifikat mit dem Rootzertifikat der Zertifizierungsstelle kombinieren und die Datei speichern.
  5. Zertifikate ersetzen durch Ausführen von Option 2, „VMCA-Rootzertifikat durch ein benutzerdefiniertes Signaturzertifikat ersetzen“ und „Alle Zertifikate ersetzen“, dabei den Eingabeaufforderungen folgen. Mit diesem Verfahren werden alle Zertifikate auf der lokalen Maschine ersetzt.
  6. (Optional) Zertifikate auf jedem Knoten ersetzen, wenn mehrere vCenter Server-Instanzen in der Konfiguration des erweiterten verknüpften Modus verbunden sind. Dazu:
    1. Zuerst das Maschinen-SSL-Zertifikat durch das (neue) VMCA-Zertifikat ersetzen (Option 3, „Maschinen-SSL-Zertifikat durch VMCA-Zertifikat ersetzen“).
    2. Dann die Lösungsbenutzerzertifikate durch das (neue) VMCA-Zertifikat ersetzen (Option 6, „Lösungsbenutzerzertifikate durch VMCA-Zertifikate ersetzen“).

Generieren von CSRs mit dem Zertifikatmanager und Vorbereiten des Rootzertifikats (Zwischenzertifizierungsstelle)

Mit dem Dienstprogramm vSphere Certificate Manager können Sie Zertifikatssignieranforderungen (Certificate Signing Requests, CSRs) generieren. Übermitteln Sie diese CSRs zur Unterzeichnung an Ihre Unternehmenszertifizierungsstelle oder an eine externe Zertifizierungsstelle. Sie können die signierten Zertifikate mit den unterschiedlichen unterstützten Zertifikatsersetzungsvorgängen verwenden.

  • Sie können vSphere Certificate Manager zum Generieren der CSR verwenden.
    Hinweis: Ab vSphere 8.0 wird die Schlüsselgröße standardmäßig von 2048 zu 3072 geändert, wenn Sie die CSR mit vCenter Server generieren.
  • Wenn Sie die CSR manuell erstellen möchten, muss das Zertifikat, das Sie zum Signieren senden, die folgenden Anforderungen erfüllen.
    • Schlüsselgröße: 2048 Bit (Minimum) bis 16384 Bit (Maximum) (PEM-codiert)
    • PEM-Format. VMware unterstützt PKCS8 und PKCS1 (RSA-Schlüssel). Wenn Schlüssel zu VECS hinzugefügt werden, werden sie in PKCS8 konvertiert.
    • x509 Version 3
    • Die Zertifizierungsstellenerweiterung muss für Stammzertifikate auf „true“ festgelegt werden und „cert sign“ muss in der Liste der Anforderungen vorhanden sein. Beispiel:
      basicConstraints        = critical,CA:true
      keyUsage                = critical,digitalSignature,keyCertSign
    • CRL-Signatur muss aktiviert sein.
    • Erweiterte Schlüsselverwendung kann entweder leer sein oder Serverauthentifizierung enthalten.
    • Keine explizite Beschränkung der Zertifikatskettenlänge. VMCA verwendet den OpenSSL-Standardwert von 10 Zertifikaten.
    • Zertifikate mit Platzhalterzeichen oder mehr als einem DNS-Namen werden nicht unterstützt.
    • Untergeordnete Zertifizierungsstellen von VMCA können nicht erstellt werden.

      Im VMware-Knowledgebase-Artikel „Creating a Microsoft Certificate Authority Template for SSL certificate creation in vSphere 6.x“ unter http://kb.vmware.com/kb/2112009 finden Sie ein Beispiel für die Verwendung der Microsoft-Zertifizierungsstelle.

Voraussetzungen

vSphere Certificate Manager fordert Sie zur Eingabe von Informationen auf. Die Eingabeaufforderungen sind abhängig von Ihrer Umgebung und vom Zertifikatstyp, den Sie ersetzen möchten.

Beim Generieren von Zertifikatssignieranforderungen werden Sie generell aufgefordert, das Kennwort für den Benutzer „administrator@vsphere.local“ bzw. den Administrator für die vCenter Single Sign On-Domäne, mit der Sie eine Verbindung herstellen, einzugeben.

Prozedur

  1. Melden Sie sich bei der vCenter Server-Shell an und starten Sie vSphere Certificate Manager.
    /usr/lib/vmware-vmca/bin/certificate-manager
  2. Wählen Sie Option 2 „Ersetzen des VMCA-Rootzertifikats durch ein benutzerdefiniertes Signaturzertifikat“ aus und ersetzen Sie alle Zertifikate.
    Anfänglich verwenden Sie diese Option zum Generieren der CSR, nicht zum Ersetzen von Zertifikaten.
  3. Geben Sie den Benutzernamen und das Kennwort für den Administrator ein.
  4. Wählen Sie Option 1 „Zertifikatsignieranforderung(en) und Schlüssel für VMCA-Root-Signaturzertifikat generieren“ aus, um die CSR zu generieren und die Eingabeaufforderungen zu beantworten.
    Im Rahmen dieses Vorgangs müssen Sie ein Verzeichnis angeben. vSphere Certificate Manager fügt das zu signierende Zertifikat ( *.csr-Datei) und die entsprechende Schlüsseldatei ( *.key-Datei) in das Verzeichnis ein.
  5. Geben Sie der Zertifikatssignieranforderung (CSR) den Namen root_signing_cert.csr.
  6. Senden Sie die CSR zum Signieren an die Zertifizierungsstelle in Ihrem Unternehmen oder eine externe Zertifizierungsstelle und geben Sie dem resultierenden signierten Zertifikat den Namen root_signing_cert.cer.
  7. Kombinieren Sie in einem Texteditor die Zertifikate wie folgt.
    -----BEGIN CERTIFICATE-----
    Signed VMCA root certificate
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    CA intermediate certificates
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    Root certificate of enterprise or external CA
    -----END CERTIFICATE-----
  8. Speichern Sie die Datei unter dem Namen root_signing_chain.cer.

Nächste Maßnahme

Ersetzen Sie das vorhandene Rootzertifikat durch das verkettete Rootzertifikat. Weitere Informationen hierzu finden Sie unter Ersetzen des VMCA-Rootzertifikats durch ein benutzerdefiniertes Signaturzertifikat und Ersetzen aller Zertifikate mit dem Certificate Manager.

Ersetzen des VMCA-Rootzertifikats durch ein benutzerdefiniertes Signaturzertifikat und Ersetzen aller Zertifikate mit dem Certificate Manager

Sie können das Dienstprogramm vSphere Certificate Manager zum Generieren eines CSR und zum Senden des CSR an eine Unternehmens- oder Drittanbieter-Zertifizierungsstelle zum Signieren verwenden. Anschließend können Sie das VMCA-Root-Zertifikat durch ein benutzerdefiniertes Signaturzertifikat und alle bestehenden Zertifikate durch von der Zertifizierungsstelle signierte Zertifikate ersetzen.

vSphere Certificate Manager führen Sie für vCenter Server aus, um das VMCA-Root-Zertifikat durch ein benutzerdefiniertes Signaturzertifikat zu ersetzen.

Voraussetzungen

  • Generieren Sie die Zertifikatskette.
  • Sammeln Sie die erforderlichen Informationen.
    • Kennwort für „administrator@vsphere.local“
    • Gültiges benutzerdefiniertes Zertifikat für Root (.crt-Datei)
    • Gültiger benutzerdefinierter Schlüssel für Root (.key-Datei)

Prozedur

  1. Melden Sie sich bei der vCenter Server-Shell an und starten Sie vSphere Certificate Manager.
    /usr/lib/vmware-vmca/bin/certificate-manager
  2. Wählen Sie Option 2 „Ersetzen des VMCA-Rootzertifikats durch ein benutzerdefiniertes Signaturzertifikat“ aus und ersetzen Sie alle Zertifikate.
  3. Geben Sie den Benutzernamen und das Kennwort für den Administrator ein.
  4. Wählen Sie Option 2 zum Importieren von benutzerdefinierten Zertifikaten und Schlüsseln aus, um vorhandene VMCA-Rootsignaturzertifikate zu ersetzen, und befolgen Sie die Eingabeaufforderungen.
    1. Geben Sie, wenn Sie dazu aufgefordert werden, den vollständigen Pfad zum Stammzertifikat an.
    2. Falls Sie Zertifikate erstmalig ersetzen, werden Sie zur Eingabe von Informationen für das Maschinen-SSL-Zertifikat aufgefordert.
      Diese Informationen beinhalten den erforderlichen FQDN der Maschine und werden in der Datei certool.cfg gespeichert.

Ersetzen des Maschinen-SSL-Zertifikats durch ein VMCA-Zertifikat (Zwischenzertifizierungsstelle) mithilfe des Certificate Manager

Wenn Sie VMCA als Zwischenzertifizierungsstelle verwenden, können Sie das Maschinen-SSL-Zertifikat explizit ersetzen, indem Sie das Dienstprogramm vSphere Certificate Manager verwenden. Zuerst ersetzen Sie das VMCA-Rootzertifikat auf dem vCenter Server. Anschließend können Sie das Maschinen-SSL-Zertifikat. ersetzen, das vom neuen Root der VMCA signiert wird. Sie können diese Option auch verwenden, um beschädigte oder in Kürze ablaufende Maschinen-SSL-Zertifikate zu ersetzen.

Wenn Sie das vorhandene Maschinen-SSL-Zertifikat durch ein neues VMCA-signiertes Zertifikat ersetzen, werden Sie von vSphere Certificate Manager zur Eingabe von Informationen aufgefordert. vSphere Certificate Manager gibt alle Werte mit Ausnahme des Kennworts und der IP-Adresse des vCenter Server in die Datei certool.cfg ein.

  • Kennwort für „administrator@vsphere.local“
  • Aus zwei Buchstaben bestehender Ländercode
  • Name des Unternehmens
  • Organisationsname
  • Organisationseinheit
  • Zustand
  • Ort
  • IP-Adresse (optional)
  • E-Mail
  • Hostname, d. h., der vollqualifizierte Domänenname der Maschine, für die Sie das Zertifikat ersetzen möchten. Wenn der Hostname nicht mit dem FQDN übereinstimmt, wird die Zertifikatsersetzung nicht ordnungsgemäß abgeschlossen und Ihre Umgebung weist möglicherweise einen instabilen Status auf.
  • IP-Adresse von vCenter Server.
  • VMCA-Name, der der vollqualifizierte Domänenname der Maschine ist, auf der die Zertifikatskonfiguration ausgeführt wird.

Voraussetzungen

  • Sie müssen die folgenden Informationen kennen, um vSphere Certificate Manager mit dieser Option auszuführen.
    • Kennwort für „administrator@vsphere.local“.
    • Der FQDN der Maschine, für die Sie ein neues VMCA-signiertes Zertifikat generieren möchten. Für alle anderen Eigenschaften werden standardmäßig die vordefinierten Werte verwendet, die Sie jedoch ändern können.
    • Hostname oder IP-Adresse des vCenter Server-Systems.

Prozedur

  1. Melden Sie sich bei der vCenter Server-Shell an und starten Sie vSphere Certificate Manager.
    /usr/lib/vmware-vmca/bin/certificate-manager
  2. Wählen Sie Option 3 zum Ersetzen des Maschinen-SSL-Zertifikats durch ein VMCA-Zertifikat aus.
  3. Geben Sie den Benutzernamen und das Kennwort für den Administrator ein.
  4. Beantworten Sie die Eingabeaufforderungen.
    vSphere Certificate Manager speichert die Informationen in der Datei certool.cfg.

Ergebnisse

vSphere Certificate Manager ersetzt das Maschinen-SSL-Zertifikat.

Ersetzen von Lösungsbenutzerzertifikaten durch VMCA-Zertifikate (Zwischenzertifizierungsstelle) mithilfe des Certificate Manager

Wenn Sie VMCA als Zwischenzertifizierungsstelle verwenden, können Sie das Lösungsbenutzerzertifikat explizit ersetzen, indem Sie das Dienstprogramm vSphere Certificate Manager verwenden. Zuerst ersetzen Sie das VMCA-Rootzertifikat auf dem vCenter Server. Anschließend können Sie das Lösungsbenutzerzertifikat ersetzen, das vom neuen Root der VMCA signiert wird. Sie können diese Option auch verwenden, um Lösungszertifikate zu ersetzen, die beschädigt sind oder im Begriff sind abzulaufen.

Voraussetzungen

  • Starten Sie alle vCenter Server-Knoten explizit neu, wenn Sie das VMCA-Root-Zertifikat in einer Bereitstellung ersetzt haben, die aus mehreren Instanzen von vCenter Server in der Konfiguration des erweiterten verknüpften Modus besteht.
  • Sie müssen die folgenden Informationen kennen, um vSphere Certificate Manager mit dieser Option auszuführen.
    • Kennwort für „administrator@vsphere.local“
    • Hostname oder IP-Adresse des vCenter Server-Systems

Prozedur

  1. Melden Sie sich bei der vCenter Server-Shell an und starten Sie vSphere Certificate Manager.
    /usr/lib/vmware-vmca/bin/certificate-manager
  2. Wählen Sie Option 6 zum Ersetzen von Lösungsbenutzerzertifikaten durch VMCA-Zertifikate aus.
  3. Geben Sie den Benutzernamen und das Kennwort für den Administrator ein.
  4. Beantworten Sie die Eingabeaufforderungen.
    Weitere Informationen finden Sie im VMware-Knowledgebase-Artikel unter http://kb.vmware.com/kb/2112281.

Ergebnisse

vSphere Certificate Manager ersetzt alle Lösungsbenutzerzertifikate.