Standardmäßig stattet der Auto Deploy-Server jeden Host mit Zertifikaten aus, die von der VMware Certificate Authority (VMCA) signiert wurden. Sie können den Auto Deploy-Server jedoch auch so konfigurieren, dass er alle Hosts mit nicht von VMCA signierten Zertifikaten ausstattet. Dabei wird der Auto Deploy-Server zu einer Zwischenzertifizierungsstelle für Ihre Drittanbieter-Zertifizierungsstelle.
Voraussetzungen
- Fordern Sie ein Zertifikat von Ihrer Zertifizierungsstelle an. Die Zertifikatsdatei muss die folgenden Anforderungen erfüllen.
- Schlüsselgröße: 2048 Bit (Minimum) bis 8192 (Maximum) (PEM-codiert)
- PEM-Format. VMware unterstützt PKCS8 und PKCS1 (RSA-Schlüssel). Wenn Schlüssel zu VECS hinzugefügt werden, werden sie in PKCS8 konvertiert.
- x509 Version 3
- Für Stammzertifikate muss die Zertifizierungsstellenerweiterung auf „true“ festgelegt sein, und „cert sign“ muss in der Liste der Anforderungen vorhanden sein.
- „SubjectAltName“ muss DNS-Name=<Maschinen-FQDN> enthalten.
- CRT-Format
- Enthält die folgenden Schlüsselverwendungen: digitale Signatur, Schlüsselverschlüsselung
- Startzeit von einem Tag vor dem aktuellen Zeitpunkt.
- CN (und SubjectAltName) auf den Hostnamen (oder die IP-Adresse) festgelegt, den/die der ESXi-Host in der vCenter Server-Bestandsliste hat.
Hinweis: Das FIPS-Zertifikat von vSphere validiert nur die RSA-Schlüsselgrößen 2048 und 3072. Weitere Informationen hierzu finden Sie unter Überlegungen bei der Verwendung von FIPS. - Benennen Sie die Zertifikatdatei als rbd-ca.crt und die Schlüsseldatei als rbd-ca.key.
Prozedur
Ergebnisse
Das nächste Mal, wenn Sie einen für die Verwendung von Auto Deploy eingerichteten Host bereitstellen, generiert der Auto Deploy-Server ein Zertifikat. Der Server zur automatischen Bereitstellung verwendet das Root-Zertifikat, das Sie zum TRUSTED_ROOTS-Speicher hinzugefügt haben.
Hinweis: Wenn Sie Probleme mit Auto Deploy nach der Zertifikatsersetzung haben, lesen Sie sich den VMware-Knowledgebase-Artikel unter
https://kb.vmware.com/s/article/2000988 durch.