Sie können den vSphere Client verwenden, um die Standardzertifikate durch benutzerdefinierte Zertifikate zu ersetzen.

Sie können den vSphere Client verwenden, um CSRs für jede Maschine zu generieren und Zertifikate zu ersetzen, wenn Sie sie von Ihrer internen oder Drittanbieter-Zertifizierungsstelle (CA) erhalten. Wenn Sie die CSRs an Ihre interne oder Drittanbieter-Zertifizierungsstelle übermitteln, gibt die Zertifizierungsstelle signierte Zertifikate und das Rootzertifikat zurück. Sie können sowohl das Rootzertifikat als auch die signierten Zertifikate über den vSphere Client hochladen.

Generieren einer Zertifikatssignieranforderung (Certificate Signing Request, CSR) für ein Maschinen-SSL-Zertifikat mithilfe des vSphere Client (benutzerdefinierte Zertifikate)

Das Maschinen-SSL-Zertifikat wird vom Reverse-Proxy-Dienst auf jedem vCenter Server-Knoten verwendet. Für jede Maschine ist ein Maschinen-SSL-Zertifikat für die sichere Kommunikation mit anderen Diensten erforderlich. Sie können den vSphere Client verwenden, um eine Zertifikatssignieranforderung für das Maschinen-SSL-Zertifikat zu generieren und das Zertifikat zu ersetzen, sobald es bereit ist.

Voraussetzungen

Das Zertifikat muss die folgenden Anforderungen erfüllen:

  • Schlüsselgröße: 2048 Bit (Minimum) bis 16384 Bit (Maximum) (PEM-codiert)
  • CRT-Format
  • x509 Version 3
  • „SubjectAltName“ muss DNS-Name=<Maschinen-FQDN> enthalten.
  • Enthält die folgenden Schlüsselverwendungen: digitale Signatur, Schlüsselverschlüsselung

Prozedur

  1. Melden Sie sich mit vSphere Client bei vCenter Server an.
  2. Geben Sie den Benutzernamen und das Kennwort für „administrator@vsphere.local“ oder für ein anderes Mitglied der Administratorengruppe von vCenter Single Sign-On an.
    Falls Sie eine andere Domäne während der Installation angegeben haben, melden Sie sich als administrator@ meinedomäne an.
  3. Navigieren Sie zur Benutzeroberfläche für die Zertifikatsverwaltung.
    1. Wählen Sie im Menü Home die Option Verwaltung aus.
    2. Klicken Sie unter Zertifikate auf Zertifikatsverwaltung.
  4. Geben Sie die Anmeldedaten für Ihren vCenter Server ein.
  5. Generieren Sie die Zertifikatsignieranforderung (Certificate Signing Request, CSR).
    1. Klicken Sie auf der Kachel Maschinen-SSL-Zertifikat auf Aktionen > Zertifikatsignieranforderung (CSR) generieren.
    2. Geben Sie die Zertifikatsinformationen ein und klicken Sie auf Weiter.
      Ab vSphere 8.0 ist 3072 (Bit) der Standardwert für die Schlüsselgröße. 2048 wird nicht mehr unterstützt, wenn eine CSR mit vSphere Client generiert wird. vCenter Server akzeptiert weiterhin benutzerdefinierte Zertifikate mit einer Schlüssellänge von 2048 Bit. Ab vSphere 8.0 können Sie CSRs jedoch nur noch mit vSphere Client mit einer Mindestschlüssellänge von 3072 Bit generieren.
      Hinweis: Wenn Sie vCenter Server zum Erzeugen einer Zertifikatssignieranforderung mit einer Schlüsselgröße von 16384 Bit verwenden, nimmt dieser Vorgang aufgrund der hohen CPU-Auslastung einige Zeit in Anspruch.
    3. Kopieren Sie die Zertifikatssignieranforderung oder laden Sie sie herunter.
    4. Klicken Sie auf Beenden.
    5. Übermitteln Sie die Zertifikatssignieranforderung an Ihre Zertifizierungsstelle.

Nächste Maßnahme

Wenn das Zertifikat von der Zertifizierungsstelle zurückgegeben wird, ersetzen Sie das vorhandene Zertifikat im Zertifikatspeicher. Weitere Informationen hierzu finden Sie unter Hinzufügen von benutzerdefinierten Zertifikaten über den vSphere Client.

Hinzufügen eines vertrauenswürdigen Rootzertifikats zum Zertifikatspeicher über den vSphere Client

Wenn Sie in Ihrer Umgebung Drittanbieterzertifikate verwenden möchten, müssen Sie ein vertrauenswürdiges Rootzertifikat zum Zertifikatspeicher hinzufügen. Diese Aufgabe kann über den vSphere Client ausgeführt werden.

Voraussetzungen

Beziehen Sie das benutzerdefinierte Rootzertifikat von Ihrer Drittanbieter- oder internen Zertifizierungsstelle (CA).

vSphere akzeptiert nur gültige CA-Zertifikate für den Import. Um gültig zu sein, müssen für ein CA-Zertifikat das CA-Bit und das keyCertSign-Bit in der Basiseinschränkung bzw. in den X.509 v3-Zertifikaterweiterungen für die Schlüsselverwendung festgelegt sein. Dies bedeutet, dass es sich bei dem Zertifikat um eine Zertifizierungsstelle handelt und der Zweck der Zertifikatsignierung ist. Weitere Informationen hierzu finden Sie unter https://www.rfc-editor.org/rfc/rfc5280.

Prozedur

  1. Melden Sie sich mit vSphere Client bei vCenter Server an.
  2. Geben Sie den Benutzernamen und das Kennwort für „administrator@vsphere.local“ oder für ein anderes Mitglied der Administratorengruppe von vCenter Single Sign-On an.
    Falls Sie eine andere Domäne während der Installation angegeben haben, melden Sie sich als administrator@ meinedomäne an.
  3. Navigieren Sie zur Benutzeroberfläche für die Zertifikatsverwaltung.
    1. Wählen Sie im Menü Home die Option Verwaltung aus.
    2. Klicken Sie unter Zertifikate auf Zertifikatsverwaltung.
  4. Wenn Sie vom System aufgefordert werden, geben Sie die Anmeldedaten Ihres vCenter Server ein.
  5. Klicken Sie unter Vertrauenswürdige Stammzertifikate auf Hinzufügen.
  6. Klicken Sie auf Durchsuchen und wählen Sie den Speicherort der Zertifikatskette aus.
    Sie können Dateien des Typs CER, PEM oder CRT verwenden.
  7. Klicken Sie auf Hinzufügen.
    Das Zertifikat wird zum Speicher hinzugefügt.

Hinzufügen von benutzerdefinierten Zertifikaten über den vSphere Client

Mit dem vSphere Client können Sie benutzerdefinierte Maschinen-SSL-Zertifikate zum Zertifikatspeicher hinzufügen.

In den meisten Fällen ist es ausreichend, das Maschinen-SSL-Zertifikat für jede Komponente zu ersetzen.

Voraussetzungen

Generieren Sie Zertifikatssignieranforderungen (Certificate Signing Requests, CSRs) für jedes zu ersetzende Zertifikat. Weitere Informationen finden Sie unter Generieren einer Zertifikatssignieranforderung (Certificate Signing Request, CSR) für ein Maschinen-SSL-Zertifikat mithilfe des vSphere Client (benutzerdefinierte Zertifikate). Speichern Sie das Zertifikat und den privaten Schlüssel an einem Speicherort, auf den der vCenter Server zugreifen kann.

Prozedur

  1. Melden Sie sich mit vSphere Client bei vCenter Server an.
  2. Geben Sie den Benutzernamen und das Kennwort für „administrator@vsphere.local“ oder für ein anderes Mitglied der Administratorengruppe von vCenter Single Sign-On an.
    Falls Sie eine andere Domäne während der Installation angegeben haben, melden Sie sich als administrator@ meinedomäne an.
  3. Navigieren Sie zur Benutzeroberfläche für die Zertifikatsverwaltung.
    1. Wählen Sie im Menü Home die Option Verwaltung aus.
    2. Klicken Sie unter Zertifikate auf Zertifikatsverwaltung.
  4. Wenn Sie vom System aufgefordert werden, geben Sie die Anmeldedaten Ihres vCenter Server ein.
  5. Klicken Sie auf der Kachel Maschinen-SSL-Zertifikat auf Aktionen > Zertifikat importieren und ersetzen.
  6. Klicken Sie auf die entsprechende Option zum Ersetzen des Zertifikats und dann auf Weiter.
    Option Beschreibung
    Durch VMCA ersetzen Erstellt eine VMCA-generierte CSR, um das aktuelle Zertifikat zu ersetzen.
    Durch ein von vCenter Server erzeugtes Zertifikat ersetzen Verwenden Sie ein Zertifikat, das mit einer von vCenter Server generierten CSR signiert wurde, um das aktuelle Zertifikat zu ersetzen.
    Durch externes CA-Zertifikat ersetzen (privater Schlüssel erforderlich) Verwenden Sie ein Zertifikat, das von einer externen Zertifizierungsstelle signiert wurde, um das aktuelle Zertifikat zu ersetzen.
  7. Geben Sie die CSR-Informationen ein oder laden Sie die entsprechenden Zertifikate hoch.
  8. Klicken Sie auf Ersetzen.
    vCenter Server-Dienste werden automatisch neu gestartet.