Sie können den vSphere Client verwenden, um die Standardzertifikate durch benutzerdefinierte Zertifikate zu ersetzen.

Sie können den vSphere Client verwenden, um CSRs für jede Maschine zu generieren und Zertifikate zu ersetzen, wenn Sie sie von Ihrer internen oder Drittanbieter-Zertifizierungsstelle (CA) erhalten. Wenn Sie die CSRs an Ihre interne oder Drittanbieter-Zertifizierungsstelle übermitteln, gibt die Zertifizierungsstelle signierte Zertifikate und das Rootzertifikat zurück. Sie können sowohl das Rootzertifikat als auch die signierten Zertifikate über den vSphere Client hochladen.

Generieren einer Zertifikatssignieranforderung (Certificate Signing Request, CSR) für ein Maschinen-SSL-Zertifikat mithilfe des vSphere Client (benutzerdefinierte Zertifikate)

Das Maschinen-SSL-Zertifikat wird vom Reverse-Proxy-Dienst auf jedem vCenter Server-Knoten verwendet. Für jede Maschine ist ein Maschinen-SSL-Zertifikat für die sichere Kommunikation mit anderen Diensten erforderlich. Sie können den vSphere Client verwenden, um eine Zertifikatssignieranforderung für das Maschinen-SSL-Zertifikat zu generieren und das Zertifikat zu ersetzen, sobald es bereit ist.

Voraussetzungen

Das Zertifikat muss die folgenden Anforderungen erfüllen:

  • Schlüsselgröße: 2048 Bit (Minimum) bis 8192 Bit (Maximum) (PEM-codiert) vSphere Client und die API akzeptieren beim Generieren der Zertifikatssignieranforderung weiterhin eine Schlüsselgröße von bis zu 16384 Bit.
  • CRT-Format
  • x509 Version 3
  • „SubjectAltName“ muss DNS-Name=<Maschinen-FQDN> enthalten.
  • Enthält die folgenden Schlüsselverwendungen: digitale Signatur, Schlüsselverschlüsselung
Hinweis: Das FIPS-Zertifikat von vSphere validiert nur RSA-Schlüsselgrößen von 2048 Bit und 3072 Bit.

Prozedur

  1. Melden Sie sich mit vSphere Client bei vCenter Server an.
  2. Geben Sie den Benutzernamen und das Kennwort für „[email protected]“ oder für ein anderes Mitglied der Administratorengruppe von vCenter Single Sign-On an.
    Falls Sie eine andere Domäne während der Installation angegeben haben, melden Sie sich als administrator@ meinedomäne an.
  3. Navigieren Sie zur Benutzeroberfläche für die Zertifikatsverwaltung.
    1. Wählen Sie im Menü Home die Option Verwaltung aus.
    2. Klicken Sie unter Zertifikate auf Zertifikatsverwaltung.
  4. Geben Sie die Anmeldedaten für Ihren vCenter Server ein.
  5. Generieren Sie die Zertifikatsignieranforderung (Certificate Signing Request, CSR).
    1. Wählen Sie auf der Registerkarte Maschinen-SSL das gewünschte Zertifikat aus und klicken Sie auf Zertifikatsignieranforderung (CSR) generieren.
    2. Geben Sie die Zertifikatsinformationen ein und klicken Sie auf Weiter.
      2048 (Bit) ist der Standardwert für die Schlüsselgröße. Ändern Sie diesen Wert nach Bedarf.
      Hinweis: Wenn Sie vCenter Server zum Erzeugen einer Zertifikatsignieranforderung mit einer hohen Schlüsselgröße verwenden, nimmt dieser Vorgang aufgrund der hohen CPU-Auslastung einige Zeit in Anspruch.
    3. Kopieren Sie die Zertifikatssignieranforderung oder laden Sie sie herunter.
    4. Klicken Sie auf Beenden.
    5. Übermitteln Sie die Zertifikatssignieranforderung an Ihre Zertifizierungsstelle.

Nächste Maßnahme

Wenn das Zertifikat von der Zertifizierungsstelle zurückgegeben wird, ersetzen Sie das vorhandene Zertifikat im Zertifikatspeicher. Weitere Informationen hierzu finden Sie unter Hinzufügen von benutzerdefinierten Zertifikaten über den vSphere Client.

Hinzufügen eines vertrauenswürdigen Rootzertifikats zum Zertifikatspeicher über den vSphere Client

Wenn Sie in Ihrer Umgebung Drittanbieterzertifikate verwenden möchten, müssen Sie ein vertrauenswürdiges Rootzertifikat zum Zertifikatspeicher hinzufügen. Diese Aufgabe kann über den vSphere Client ausgeführt werden.

Voraussetzungen

Beziehen Sie das benutzerdefinierte Rootzertifikat von Ihrer Drittanbieter- oder internen Zertifizierungsstelle (CA).

vSphere akzeptiert nur gültige CA-Zertifikate für den Import. Um gültig zu sein, müssen für ein CA-Zertifikat das CA-Bit und das keyCertSign-Bit in der Basiseinschränkung bzw. in den X.509 v3-Zertifikaterweiterungen für die Schlüsselverwendung festgelegt sein. Dies bedeutet, dass es sich bei dem Zertifikat um eine Zertifizierungsstelle handelt und der Zweck der Zertifikatsignierung ist. Weitere Informationen hierzu finden Sie unter https://www.rfc-editor.org/rfc/rfc5280.

Stellen Sie sicher, dass das keyCertSign-Bit für alle Zertifikate in der Kette festgelegt ist.

Prozedur

  1. Melden Sie sich mit vSphere Client bei vCenter Server an.
  2. Geben Sie den Benutzernamen und das Kennwort für „[email protected]“ oder für ein anderes Mitglied der Administratorengruppe von vCenter Single Sign-On an.
    Falls Sie eine andere Domäne während der Installation angegeben haben, melden Sie sich als administrator@ meinedomäne an.
  3. Navigieren Sie zur Benutzeroberfläche für die Zertifikatsverwaltung.
    1. Wählen Sie im Menü Home die Option Verwaltung aus.
    2. Klicken Sie unter Zertifikate auf Zertifikatsverwaltung.
  4. Wenn Sie vom System aufgefordert werden, geben Sie die Anmeldedaten Ihres vCenter Server ein.
  5. Klicken Sie auf der Registerkarte Vertrauenswürdiger Stamm auf Vertrauenswürdiges Stammzertifikat hinzufügen.
  6. Klicken Sie auf Durchsuchen und wählen Sie den Speicherort der Zertifikatskette aus.
    Sie können Dateien des Typs CER, PEM oder CRT verwenden.
  7. Klicken Sie auf Hinzufügen.
    Das Zertifikat wird zum Speicher hinzugefügt.
    Hinweis: In vSphere 8.0 Update 2 und höher wurde das Kontrollkästchen Weitergabe von Stammzertifikaten an vCenter Hosts starten entfernt. vCenter Server überträgt die Rootzertifikate an alle verbundenen Hosts in der Bestandsliste, wenn ein Zertifikat hinzugefügt wird. Wenn ein Host mit anderen Rootzertifikaten aus vCenter Server verbunden ist, überträgt vCenter Server die Rootzertifikate, um diesen Unterschied zu beheben. In diesem Fall überschreiben vCenter Server-Rootzertifikate die Zertifikate auf dem Host, sodass Administratoren sicherstellen können, dass die in der Bestandsliste benötigten, benutzerdefinierten Rootzertifikate vCenter Server hinzugefügt werden.

Hinzufügen von benutzerdefinierten Zertifikaten über den vSphere Client

Mit dem vSphere Client können Sie benutzerdefinierte Maschinen-SSL-Zertifikate zum Zertifikatspeicher hinzufügen.

In den meisten Fällen ist es ausreichend, das Maschinen-SSL-Zertifikat für jede Komponente zu ersetzen.

Voraussetzungen

Generieren Sie Zertifikatssignieranforderungen (Certificate Signing Requests, CSRs) für jedes zu ersetzende Zertifikat. Weitere Informationen finden Sie unter Generieren einer Zertifikatssignieranforderung (Certificate Signing Request, CSR) für ein Maschinen-SSL-Zertifikat mithilfe des vSphere Client (benutzerdefinierte Zertifikate). Speichern Sie das Zertifikat und den privaten Schlüssel an einem Speicherort, auf den der vCenter Server zugreifen kann.

Prozedur

  1. Melden Sie sich mit vSphere Client bei vCenter Server an.
  2. Geben Sie den Benutzernamen und das Kennwort für „[email protected]“ oder für ein anderes Mitglied der Administratorengruppe von vCenter Single Sign-On an.
    Falls Sie eine andere Domäne während der Installation angegeben haben, melden Sie sich als administrator@ meinedomäne an.
  3. Navigieren Sie zur Benutzeroberfläche für die Zertifikatsverwaltung.
    1. Wählen Sie im Menü Home die Option Verwaltung aus.
    2. Klicken Sie unter Zertifikate auf Zertifikatsverwaltung.
  4. Wenn Sie vom System aufgefordert werden, geben Sie die Anmeldedaten Ihres vCenter Server ein.
  5. Wählen Sie auf der Registerkarte Maschinen-SSL das Zertifikat aus und klicken Sie dann auf Zertifikat importieren und ersetzen.
  6. Klicken Sie auf die entsprechende Option zum Ersetzen des Zertifikats und dann auf Weiter.
    Option Beschreibung
    Durch VMCA-Zertifikat ersetzen Erstellt eine VMCA-generierte CSR, um das aktuelle Zertifikat zu ersetzen.
    Ersetzen Sie es durch ein externes CA-Zertifikat, bei dem CSR von vCenter Server erzeugt wird (eingebetteter privater Schlüssel) Verwenden Sie ein Zertifikat, das mit einer von vCenter Server generierten CSR signiert wurde, um das aktuelle Zertifikat zu ersetzen.
    Durch externes CA-Zertifikat ersetzen (privater Schlüssel erforderlich) Verwenden Sie ein Zertifikat, das von einer externen Zertifizierungsstelle signiert wurde, um das aktuelle Zertifikat zu ersetzen.
  7. Geben Sie die CSR-Informationen ein oder laden Sie die entsprechenden Zertifikate hoch.
  8. Aktivieren Sie das Kontrollkästchen, um zu bestätigen, dass Sie vCenter Server und die zugehörigen Datenbanken gesichert haben.
  9. Überprüfen Sie die Informationen und klicken Sie auf Beenden.
    Das System ersetzt das Zertifikat und zeigt eine Erfolgsmeldung an.
  10. Wenn die Meldung zum Ändern des Zertifikats angezeigt wird, klicken Sie auf Aktualisieren, um Ihren Browser zu aktualisieren.

Generieren eins VMCA Leaf-Zertifikats

Sie können ein Leaf-Zertifikat generieren, das von VMware Certificate Authority (VMCA) für die Verwendung in Ihrer VMware-Infrastruktur signiert ist.

Zusätzlich zur Übernahme der gesamten Zertifikatsverwaltung kann VMware Certificate Authority (VMCA) auch Leaf-Zertifikate erstellen. Leaf-Zertifikate werden von VMCA signiert und zur Identifizierung anderer VMware-Ressourcen verwendet. Von VMCA generierte Leaf-Zertifikate werden nicht in VECS gespeichert. Außerdem verfolgt vCenter Server nicht, wann diese Leaf-Zertifikate ablaufen.

Voraussetzungen

Generieren Sie eine Zertifikatsignieranforderung (CSR) auf dem Host in Ihrer VMware-Infrastruktur, in der Sie das Leaf-Zertifikat installieren möchten.

Prozedur

  1. Melden Sie sich mit vSphere Client bei vCenter Server an.
  2. Geben Sie den Benutzernamen und das Kennwort für „[email protected]“ oder für ein anderes Mitglied der Administratorengruppe von vCenter Single Sign-On an.
    Falls Sie eine andere Domäne während der Installation angegeben haben, melden Sie sich als administrator@ meinedomäne an.
  3. Navigieren Sie zur Benutzeroberfläche für die Zertifikatsverwaltung.
    1. Wählen Sie im Menü Home die Option Verwaltung aus.
    2. Klicken Sie unter Zertifikate auf Zertifikatsverwaltung.
  4. Wenn Sie vom System aufgefordert werden, geben Sie die Anmeldedaten Ihres vCenter Server ein.
  5. Wählen Sie auf der Registerkarte Vertrauenswürdiger Stamm das VMCA-Stammzertifikat aus und klicken Sie auf Neues Leaf-Zertifikat ausstellen.
  6. Suchen Sie nach der zuvor generierten CSR, geben Sie eine Dauer an und klicken Sie dann auf Weiter.
  7. Klicken Sie auf Zertifikate herunterladen, um die Leaf- und Stammzertifikate zu speichern.

Ergebnisse

Die generierten Leaf- und Stammzertifikate werden erstellt und an den angegebenen Speicherort heruntergeladen.

Nächste Maßnahme

Importieren Sie die Leaf- und Stammzertifikate auf den Zielhost in Ihrer VMware-Infrastruktur.