vSphere bietet Sicherheit mithilfe von Zertifikaten zur Verschlüsselung der Kommunikation, Authentifizierung von Diensten und Signierung von Token.

Vorgehensweise zum Verwenden von Zertifikaten in vSphere

vSphere verwendet Zertifikate zu folgenden Zwecken:
  • Verschlüsseln der Kommunikationen zwischen zwei Knoten, wie z. B. einem vCenter Server- und einem ESXi-Host.
  • Authentifizieren von vSphere-Diensten.
  • Durchführen interner Aktionen wie beispielsweise das Signieren von Token

Was ist die VMware Certificate Authority?

Die interne Zertifizierungsstelle von vSphere, VMware Certificate Authority (VMCA), stellt alle für vCenter Server und ESXi erforderlichen Zertifikate zur Verfügung. VMCA wird auf jedem vCenter Server-Host installiert und schützt die Lösung sofort und ohne weitere Änderung. Wenn die Standardkonfiguration beibehalten wird, ist der betriebliche Overhead für die Zertifikatverwaltung so gering wie möglich. vSphere bietet einen Mechanismus, durch den diese Zertifikate verlängert werden, wenn sie ablaufen.

Zudem bietet vSphere einen Mechanismus, um bestimmte Zertifikate durch Ihre eigenen Zertifikate zu ersetzen. Ersetzen Sie jedoch nur das SSL-Zertifikat, das die Verschlüsselung zwischen den Knoten bereitstellt, um den Overhead für die Zertifikatsverwaltung gering zu halten.

Verfügbare Optionen zum Verwalten von vSphere-Zertifikaten

Die folgenden Optionen werden für die Verwaltung von Zertifikaten empfohlen.

Tabelle 1. Empfohlene Optionen für die Verwaltung von vSphere-Zertifikaten
Modus Beschreibung Vorteile
VMCA-Standardzertifikate VMCA stellt alle Zertifikate für vCenter Server- und ESXi-Hosts zur Verfügung. Einfachster und geringster Overhead. VMCA kann den Lebenszyklus des Zertifikats für vCenter Server- und ESXi-Hosts verwalten.
VMCA-Standardzertifikate mit externen SSL-Zertifikaten (Hybrid-Modus) Sie ersetzen die SSL-Zertifikate des vCenter Server und gestatten VMCA die Verwaltung von Zertifikaten für Lösungsbenutzer und ESXi-Hosts. Optional können Sie für Bereitstellungen, die auf hohe Sicherheit ausgelegt sind, auch die SSL-Zertifikate des ESXi-Hosts ersetzen. Einfach und sicher. VMCA verwaltet interne Zertifikate. Sie können jedoch von der Verwendung Ihrer durch das Unternehmen genehmigten SSL-Zertifikate profitieren und diesen Zertifikaten in Ihren Browsern vertrauen lassen.

VMware empfiehlt, weder Lösungsbenutzerzertifikate oder STS-Zertifikate zu ersetzen noch eine untergeordnete Zertifizierungsstelle anstelle der VMCA zu verwenden. Wenn Sie eine dieser Optionen auswählen, stoßen Sie ggf. auf erhebliche Komplexität und es besteht die Möglichkeit negativer Auswirkungen auf Ihre Sicherheit. Außerdem kann das operative Risiko unnötig ansteigen. Weitere Informationen zum Verwalten von Zertifikaten innerhalb einer vSphere-Umgebung finden Sie im Blogbeitrag mit dem Titel New Product Walkthrough - Hybrid vSphere SSL Certificate Replacement (Neuer Produktfunktionstest - Ersetzen von hybriden vSphere-SSL-Zertifikaten) unter http://vmware.com/go/hybridvmca.

Verfügbare Tools zum Ersetzen von vSphere-Zertifikaten

Sie können die folgenden Optionen verwenden, um die vorhandenen Zertifikate zu ersetzen.

Tabelle 2. Verschiedene Ansätze zum Ersetzen von vSphere-Zertifikaten
Option Informationen hierzu finden Sie unter
Verwenden Sie den vSphere Client. Verwalten von Zertifikaten mit dem vSphere Client
Verwenden Sie die vSphere Automation-API, um den Lebenszyklus von Zertifikaten zu verwalten. Programmierhandbuch zu den VMware vSphere Automation SDKs unter https://developer.vmware.com/docs/11699/vmware-vsphere-automation-sdks-programming-guide
Mithilfe des Dienstprogramms vSphere Certificate Manager über die Befehlszeile Verwalten von Zertifikaten mithilfe der vSphere Certificate Manager-Nutzung
Mithilfe von CLI-Befehlen für die manuelle Zertifikatsersetzung CLI-Befehlsreferenz für vSphere-Zertifikate und -Dienste