Mit dem Dienstprogramm vSphere Certificate Manager können Sie VMCA als Zwischenzertifizierungsstelle zu konfigurieren. Nachdem Sie diesen Vorgang durchgeführt haben, signiert VMCA alle neuen Zertifikate mit der vollständigen Zertifikatskette. Sofern gewünscht, haben Sie auch die Möglichkeit, mit vSphere Certificate Manager alle vorhandenen Zertifikate durch neue VMCA-signierte Zertifikate zu ersetzen.

Um VMCA als Zwischenzertifizierungsstelle festzulegen, müssen Sie vSphere Certificate Manager mehrmals ausführen. Allgemeine Schritte zum Ersetzen von Maschinen-SSL-Zertifikaten und Lösungsbenutzerzertifikaten:

  1. Dienstprogramm vSphere Certificate Manager starten.
  2. Eine CSR erstellen durch Ausführen von Option 2, „VMCA-Rootzertifikat durch ein benutzerdefiniertes Signaturzertifikat ersetzen“, und „Alle Zertifikate ersetzen“. Danach müssen Sie möglicherweise einige Informationen zum Zertifikat angeben. Wenn Sie erneut nach einer Option gefragt werden, wählen Sie Option 1, „Zertifikatsignieranforderung(en) und Schlüssel für VMCA-Root-Signaturzertifikat generieren“.
  3. Die CSR an die externe Zertifizierungsstelle oder die Unternehmenszertifizierungsstelle übermitteln. Sie erhalten ein signiertes Zertifikat und ein Rootzertifikat von der Zertifizierungsstelle.
  4. Das VMCA-Rootzertifikat mit dem Rootzertifikat der Zertifizierungsstelle kombinieren und die Datei speichern.
  5. Zertifikate ersetzen durch Ausführen von Option 2, „VMCA-Rootzertifikat durch ein benutzerdefiniertes Signaturzertifikat ersetzen“ und „Alle Zertifikate ersetzen“, dabei den Eingabeaufforderungen folgen. Mit diesem Verfahren werden alle Zertifikate auf der lokalen Maschine ersetzt.
  6. (Optional) Zertifikate auf jedem Knoten ersetzen, wenn mehrere vCenter Server-Instanzen in der Konfiguration des erweiterten verknüpften Modus verbunden sind. Dazu:
    1. Zuerst das Maschinen-SSL-Zertifikat durch das (neue) VMCA-Zertifikat ersetzen (Option 3, „Maschinen-SSL-Zertifikat durch VMCA-Zertifikat ersetzen“).
    2. Dann die Lösungsbenutzerzertifikate durch das (neue) VMCA-Zertifikat ersetzen (Option 6, „Lösungsbenutzerzertifikate durch VMCA-Zertifikate ersetzen“).

Generieren von CSRs mit dem Zertifikatmanager und Vorbereiten des Rootzertifikats (Zwischenzertifizierungsstelle)

Mit dem Dienstprogramm vSphere Certificate Manager können Sie Zertifikatssignieranforderungen (Certificate Signing Requests, CSRs) generieren. Übermitteln Sie diese CSRs zur Unterzeichnung an Ihre Unternehmenszertifizierungsstelle oder an eine externe Zertifizierungsstelle. Sie können die signierten Zertifikate mit den unterschiedlichen unterstützten Zertifikatsersetzungsvorgängen verwenden.

  • Sie können vSphere Certificate Manager zum Generieren der CSR verwenden.
    Hinweis: Wenn Sie in vSphere 8.0 und höher den vSphere Certificate Manager zum Generieren der CSR verwenden, wird die Mindestschlüsselgröße von 2048 auf 3072 Bit geändert. Verwenden Sie in vSphere 8.0 Update 1 oder höher den vSphere Client, um eine CSR mit einer Schlüsselgröße von 2048 Bit zu generieren.
    Hinweis: Das FIPS-Zertifikat von vSphere validiert nur RSA-Schlüsselgrößen von 2048 Bit und 3072 Bit.
  • Wenn Sie die CSR manuell erstellen möchten, muss das Zertifikat, das Sie zum Signieren senden, die folgenden Anforderungen erfüllen.
    • Schlüsselgröße: 2048 Bit (Minimum) bis 8192 (Maximum) (PEM-codiert)
    • PEM-Format. VMware unterstützt PKCS8 und PKCS1 (RSA-Schlüssel). Wenn Schlüssel zu VECS hinzugefügt werden, werden sie in PKCS8 konvertiert.
    • x509 Version 3
    • Die Zertifizierungsstellenerweiterung muss für Stammzertifikate auf „true“ festgelegt werden und „cert sign“ muss in der Liste der Anforderungen vorhanden sein. Beispiel:
      basicConstraints        = critical,CA:true
keyUsage                = critical,digitalSignature,keyCertSign
    • CRL-Signatur muss aktiviert sein.
    • Erweiterte Schlüsselverwendung kann entweder leer sein oder Serverauthentifizierung enthalten.
    • Keine explizite Beschränkung der Zertifikatskettenlänge. VMCA verwendet den OpenSSL-Standardwert von 10 Zertifikaten.
    • Zertifikate mit Platzhalterzeichen oder mehr als einem DNS-Namen werden nicht unterstützt.
    • Untergeordnete Zertifizierungsstellen von VMCA können nicht erstellt werden.

      Im VMware-Knowledgebase-Artikel „Creating a Microsoft Certificate Authority Template for SSL certificate creation in vSphere 6.x“ unter https://kb.vmware.com/s/article/2112009 finden Sie ein Beispiel für die Verwendung der Microsoft-Zertifizierungsstelle.

Voraussetzungen

vSphere Certificate Manager fordert Sie zur Eingabe von Informationen auf. Die Eingabeaufforderungen sind abhängig von Ihrer Umgebung und vom Zertifikatstyp, den Sie ersetzen möchten.

Beim Generieren von Zertifikatssignieranforderungen werden Sie generell aufgefordert, das Kennwort für den Benutzer „[email protected]“ bzw. den Administrator für die vCenter Single Sign On-Domäne, mit der Sie eine Verbindung herstellen, einzugeben.

Prozedur

  1. Melden Sie sich bei der vCenter Server-Shell an und starten Sie vSphere Certificate Manager. 
    /usr/lib/vmware-vmca/bin/certificate-manager
  2. Wählen Sie Option 2 „Ersetzen des VMCA-Rootzertifikats durch ein benutzerdefiniertes Signaturzertifikat“ aus und ersetzen Sie alle Zertifikate.
    Anfänglich verwenden Sie diese Option zum Generieren der CSR, nicht zum Ersetzen von Zertifikaten.
  3. Geben Sie den Benutzernamen und das Kennwort für den Administrator ein.
  4. Wählen Sie Option 1 „Zertifikatsignieranforderung(en) und Schlüssel für VMCA-Root-Signaturzertifikat generieren“ aus, um die CSR zu generieren und die Eingabeaufforderungen zu beantworten.
    Im Rahmen dieses Vorgangs müssen Sie ein Verzeichnis angeben. vSphere Certificate Manager fügt das zu signierende Zertifikat ( *.csr-Datei) und die entsprechende Schlüsseldatei ( *.key-Datei) in das Verzeichnis ein.
  5. Geben Sie der Zertifikatssignieranforderung (CSR) den Namen root_signing_cert.csr.
  6. Senden Sie die CSR zum Signieren an die Zertifizierungsstelle in Ihrem Unternehmen oder eine externe Zertifizierungsstelle und geben Sie dem resultierenden signierten Zertifikat den Namen root_signing_cert.cer.
  7. Kombinieren Sie in einem Texteditor die Zertifikate wie folgt. 
    -----BEGIN CERTIFICATE-----
Signed VMCA root certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
CA intermediate certificates
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Root certificate of enterprise or external CA
-----END CERTIFICATE-----
  8. Speichern Sie die Datei unter dem Namen root_signing_chain.cer.

Nächste Maßnahme

Ersetzen Sie das vorhandene Rootzertifikat durch das verkettete Rootzertifikat. Weitere Informationen hierzu finden Sie unter Ersetzen des VMCA-Rootzertifikats durch ein benutzerdefiniertes Signaturzertifikat und Ersetzen aller Zertifikate mit dem Certificate Manager.

Ersetzen des VMCA-Rootzertifikats durch ein benutzerdefiniertes Signaturzertifikat und Ersetzen aller Zertifikate mit dem Certificate Manager

Sie können das Dienstprogramm vSphere Certificate Manager zum Generieren eines CSR und zum Senden des CSR an eine Unternehmens- oder Drittanbieter-Zertifizierungsstelle zum Signieren verwenden. Anschließend können Sie das VMCA-Root-Zertifikat durch ein benutzerdefiniertes Signaturzertifikat und alle bestehenden Zertifikate durch von der Zertifizierungsstelle signierte Zertifikate ersetzen.

vSphere Certificate Manager führen Sie für vCenter Server aus, um das VMCA-Root-Zertifikat durch ein benutzerdefiniertes Signaturzertifikat zu ersetzen.

Voraussetzungen

  • Generieren Sie die Zertifikatskette.
  • Sammeln Sie die erforderlichen Informationen.
    • Kennwort für „[email protected]
    • Gültiges benutzerdefiniertes Zertifikat für Root (.crt-Datei)
    • Gültiger benutzerdefinierter Schlüssel für Root (.key-Datei)

Prozedur

  1. Melden Sie sich bei der vCenter Server-Shell an und starten Sie vSphere Certificate Manager. 
    /usr/lib/vmware-vmca/bin/certificate-manager
  2. Wählen Sie Option 2 „Ersetzen des VMCA-Rootzertifikats durch ein benutzerdefiniertes Signaturzertifikat“ aus und ersetzen Sie alle Zertifikate.
  3. Geben Sie den Benutzernamen und das Kennwort für den Administrator ein.
  4. Wählen Sie Option 2 zum Importieren von benutzerdefinierten Zertifikaten und Schlüsseln aus, um vorhandene VMCA-Rootsignaturzertifikate zu ersetzen, und befolgen Sie die Eingabeaufforderungen.
    1. Geben Sie, wenn Sie dazu aufgefordert werden, den vollständigen Pfad zum Stammzertifikat an.
    2. Falls Sie Zertifikate erstmalig ersetzen, werden Sie zur Eingabe von Informationen für das Maschinen-SSL-Zertifikat aufgefordert.
      Diese Informationen beinhalten den erforderlichen FQDN der Maschine und werden in der Datei certool.cfg gespeichert.

Ersetzen des Maschinen-SSL-Zertifikats durch ein VMCA-Zertifikat (Zwischenzertifizierungsstelle) mithilfe des Certificate Manager

Wenn Sie VMCA als Zwischenzertifizierungsstelle verwenden, können Sie das Maschinen-SSL-Zertifikat explizit ersetzen, indem Sie das Dienstprogramm vSphere Certificate Manager verwenden. Zuerst ersetzen Sie das VMCA-Rootzertifikat auf dem vCenter Server. Anschließend können Sie das Maschinen-SSL-Zertifikat. ersetzen, das vom neuen Root der VMCA signiert wird. Sie können diese Option auch verwenden, um beschädigte oder in Kürze ablaufende Maschinen-SSL-Zertifikate zu ersetzen.

Wenn Sie das vorhandene Maschinen-SSL-Zertifikat durch ein neues VMCA-signiertes Zertifikat ersetzen, werden Sie von vSphere Certificate Manager zur Eingabe von Informationen aufgefordert. vSphere Certificate Manager gibt alle Werte mit Ausnahme des Kennworts und der IP-Adresse des vCenter Server in die Datei certool.cfg ein.

  • Kennwort für „[email protected]
  • Aus zwei Buchstaben bestehender Ländercode
  • Name des Unternehmens
  • Organisationsname
  • Organisationseinheit
  • Zustand
  • Ort
  • IP-Adresse (optional)
  • E-Mail
  • Hostname, d. h., der vollqualifizierte Domänenname der Maschine, für die Sie das Zertifikat ersetzen möchten. Wenn der Hostname nicht mit dem FQDN übereinstimmt, wird die Zertifikatsersetzung nicht ordnungsgemäß abgeschlossen und Ihre Umgebung weist möglicherweise einen instabilen Status auf.
  • IP-Adresse von vCenter Server.
  • VMCA-Name, der der vollqualifizierte Domänenname der Maschine ist, auf der die Zertifikatskonfiguration ausgeführt wird.
Hinweis: Das OU-Feld (organizationalUnitName) ist nicht mehr obligatorisch.

Voraussetzungen

  • Sie müssen die folgenden Informationen kennen, um vSphere Certificate Manager mit dieser Option auszuführen.
    • Kennwort für „[email protected]“.
    • Der FQDN der Maschine, für die Sie ein neues VMCA-signiertes Zertifikat generieren möchten. Für alle anderen Eigenschaften werden standardmäßig die vordefinierten Werte verwendet, die Sie jedoch ändern können.
    • Hostname oder IP-Adresse des vCenter Server-Systems.

Prozedur

  1. Melden Sie sich bei der vCenter Server-Shell an und starten Sie vSphere Certificate Manager. 
    /usr/lib/vmware-vmca/bin/certificate-manager
  2. Wählen Sie Option 3 zum Ersetzen des Maschinen-SSL-Zertifikats durch ein VMCA-Zertifikat aus.
  3. Geben Sie den Benutzernamen und das Kennwort für den Administrator ein.
  4. Beantworten Sie die Eingabeaufforderungen.
    vSphere Certificate Manager speichert die Informationen in der Datei certool.cfg.

Ergebnisse

vSphere Certificate Manager ersetzt das Maschinen-SSL-Zertifikat.

Ersetzen von Lösungsbenutzerzertifikaten durch VMCA-Zertifikate (Zwischenzertifizierungsstelle) mithilfe des Certificate Manager

Wenn Sie VMCA als Zwischenzertifizierungsstelle verwenden, können Sie das Lösungsbenutzerzertifikat explizit ersetzen, indem Sie das Dienstprogramm vSphere Certificate Manager verwenden. Zuerst ersetzen Sie das VMCA-Rootzertifikat auf dem vCenter Server. Anschließend können Sie das Lösungsbenutzerzertifikat ersetzen, das vom neuen Root der VMCA signiert wird. Sie können diese Option auch verwenden, um Lösungszertifikate zu ersetzen, die beschädigt sind oder im Begriff sind abzulaufen.

Voraussetzungen

  • Starten Sie alle vCenter Server-Knoten explizit neu, wenn Sie das VMCA-Root-Zertifikat in einer Bereitstellung ersetzt haben, die aus mehreren Instanzen von vCenter Server in der Konfiguration des erweiterten verknüpften Modus besteht.
  • Sie müssen die folgenden Informationen kennen, um vSphere Certificate Manager mit dieser Option auszuführen.
    • Kennwort für „[email protected]
    • Hostname oder IP-Adresse des vCenter Server-Systems

Prozedur

  1. Melden Sie sich bei der vCenter Server-Shell an und starten Sie vSphere Certificate Manager. 
    /usr/lib/vmware-vmca/bin/certificate-manager
  2. Wählen Sie Option 6 zum Ersetzen von Lösungsbenutzerzertifikaten durch VMCA-Zertifikate aus.
  3. Geben Sie den Benutzernamen und das Kennwort für den Administrator ein.
  4. Beantworten Sie die Eingabeaufforderungen.
    Weitere Informationen finden Sie im VMware-Knowledgebase-Artikel unter https://kb.vmware.com/s/article/2112281.

Ergebnisse

vSphere Certificate Manager ersetzt alle Lösungsbenutzerzertifikate.