Standardmäßig stattet der Auto Deploy-Server jeden Host mit Zertifikaten aus, die von der VMware Certificate Authority (VMCA) signiert wurden. Sie können den Auto Deploy-Server jedoch auch so konfigurieren, dass er alle Hosts mit nicht von VMCA signierten Zertifikaten ausstattet. Dabei wird der Auto Deploy-Server zu einer Zwischenzertifizierungsstelle für Ihre Drittanbieter-Zertifizierungsstelle.

Voraussetzungen

  • Fordern Sie ein Zertifikat von Ihrer Zertifizierungsstelle an. Die Zertifikatsdatei muss die folgenden Anforderungen erfüllen.
    • Schlüsselgröße: 2048 Bit (Minimum) bis 8192 (Maximum) (PEM-codiert)
    • PEM-Format. VMware unterstützt PKCS8 und PKCS1 (RSA-Schlüssel). Wenn Schlüssel zu VECS hinzugefügt werden, werden sie in PKCS8 konvertiert.
    • x509 Version 3
    • Für Stammzertifikate muss die Zertifizierungsstellenerweiterung auf „true“ festgelegt sein, und „cert sign“ muss in der Liste der Anforderungen vorhanden sein.
    • „SubjectAltName“ muss DNS-Name=<Maschinen-FQDN> enthalten.
    • CRT-Format
    • Enthält die folgenden Schlüsselverwendungen: digitale Signatur, Schlüsselverschlüsselung
    • Startzeit von einem Tag vor dem aktuellen Zeitpunkt.
    • CN (und SubjectAltName) auf den Hostnamen (oder die IP-Adresse) festgelegt, den/die der ESXi-Host in der vCenter Server-Bestandsliste hat.
    Hinweis: Das FIPS-Zertifikat von vSphere validiert nur die RSA-Schlüsselgrößen 2048 und 3072. Weitere Informationen hierzu finden Sie unter Überlegungen bei der Verwendung von FIPS.
  • Benennen Sie die Zertifikatdatei als rbd-ca.crt und die Schlüsseldatei als rbd-ca.key.

Prozedur

  1. Sichern Sie die standardmäßigen ESXi-Zertifikate.
    Die Zertifikate befinden sich im Verzeichnis /etc/vmware-rbd/ssl/.
  2. Halten Sie den vSphere Authentication Proxy-Dienst an.
    Tool Schritte
    vCenter Server-Verwaltungsschnittstelle
    1. Navigieren Sie in einem Webbrowser zur vCenter Server-Verwaltungsschnittstelle (https://vcenter-IP-adresse-oder-FQDN:5480).
    2. Melden Sie sich als „root“ an.

      Das standardmäßige Root-Kennwort ist das Kennwort, das Sie während der Bereitstellung der vCenter Server festlegen.

    3. Klicken Sie auf Dienste und anschließend auf VMware vSphere Authentication Proxy.
    4. Klicken Sie auf Beenden.
    Befehlszeilenschnittstelle
    service-control --stop vmcam
    
  3. Ersetzen Sie auf dem System, auf dem der Auto Deploy-Dienst ausgeführt wird, die Dateien rbd-ca.crt und rbd-ca.key in /etc/vmware-rbd/ssl/ durch Ihr benutzerdefiniertes Zertifikat bzw. die Schlüsseldateien.
  4. Führen Sie auf dem System, auf dem der Dienst „Automatischer Einsatz“ ausgeführt wird, den folgenden Befehl aus, um den TRUSTED_ROOTS-Speicher in VMware Endpoint Certificate Store (VECS) zu aktualisieren und Ihre neuen Zertifikate nutzen zu können.
    /usr/lib/vmware-vmafd/bin/dir-cli trustedcert publish --cert /etc/vmware-rbd/ssl/rbd-ca.crt
    /usr/lib/vmware-vmafd/bin/vecs-cli force-refresh
  5. Erstellen Sie die Datei castore.pem, die den Inhalt des TRUSTED_ROOTS-Speichers enthält, und fügen Sie sie in das Verzeichnis /etc/vmware-rbd/ssl/ ein.
    Im benutzerdefinierten Modus sind Sie für die Wartung dieser Datei verantwortlich.
  6. Ändern Sie den ESXi-Zertifikatmodus für das vCenter Server-System in benutzerdefiniert.
    Weitere Informationen hierzu finden Sie unter Ändern des ESXi-Zertifikatmodus.
  7. Starten Sie den vCenter Server-Dienst neu und starten Sie den Auto Deploy-Dienst.

Ergebnisse

Das nächste Mal, wenn Sie einen für die Verwendung von Auto Deploy eingerichteten Host bereitstellen, generiert der Auto Deploy-Server ein Zertifikat. Der Server zur automatischen Bereitstellung verwendet das Root-Zertifikat, das Sie zum TRUSTED_ROOTS-Speicher hinzugefügt haben.

Hinweis: Wenn Sie Probleme mit Auto Deploy nach der Zertifikatsersetzung haben, lesen Sie sich den VMware-Knowledgebase-Artikel unter https://kb.vmware.com/s/article/2000988 durch.