Die VMware Certificate Authority (VMCA) stellt für jeden neuen ESXi-Host ein signiertes Zertifikat bereit, dessen Rootzertifizierungsstelle standardmäßig die VMCA ist. Diese Bereitstellung findet statt, wenn der Host explizit oder im Zuge der Installation oder eines Upgrades von ESXi zu vCenter Server hinzugefügt wird.

Sie können ESXi-Zertifikate in vSphere Client und über die vim.CertificateManager-API im vSphere Web Services SDK anzeigen und verwalten. Es ist nicht möglich, ESXi-Zertifikate mithilfe von Management-CLIs für vCenter Server-Zertifikate anzuzeigen oder zu verwalten.

Zertifikate in vSphere

Bei der Kommunikation zwischen ESXi und vCenter Server kommt TLS für beinahe den gesamten Verwaltungsdatenverkehr zum Einsatz.

vCenter Server unterstützt die folgenden Zertifikatmodi für ESXi-Hosts.
Tabelle 1. Zertifikatmodi für ESXi-Hosts
Zertifikatmodus Beschreibung
VMware Certificate Authority (Standard) Verwenden Sie diesen Modus, wenn VMCA die Zertifikate für alle ESXi-Hosts bereitstellt, entweder als Zertifizierungsstelle der obersten Ebene oder als Zwischenzertifizierungsstelle.

Standardmäßig liefert VMCA alle Zertifikate für ESXi-Hosts.

In diesem Modus können Sie Zertifikate in vSphere Client aktualisieren und verlängern.

Benutzerdefinierte Zertifizierungsstelle Verwenden Sie diesen Modus, wenn Sie ausschließlich benutzerdefinierte, von einer Drittanbieter- oder Unternehmens-Zertifizierungsstelle signierte Zertifikate verwenden möchten.
In diesem Modus sind Sie für die Verwaltung der Zertifikate verantwortlich. Hier können Sie die Zertifikate nicht in vSphere Client aktualisieren und verlängern.
Hinweis: Wenn Sie den Zertifikatmodus nicht in „Benutzerdefinierte Zertifizierungsstelle“ ändern, kann VMCA benutzerdefinierte Zertifikate ersetzen, beispielsweise wenn Sie die Option Verlängern in vSphere Client wählen.
Fingerabdruckmodus vSphere 5.5 verwendete den Fingerabdruckmodus, und dieser Modus ist in vSphere 6.x nach wie vor als Notfallmodus verfügbar. In diesem Modus prüft vCenter Server, ob das Zertifikat korrekt formatiert ist, jedoch nicht die Gültigkeit des Zertifikats. Selbst abgelaufene Zertifikate werden akzeptiert.

Verwenden Sie diesen Modus nur, wenn Sie auf Probleme stoßen, die in den anderen beiden Modi nicht zu beheben sind. Einige Dienste aus vCenter Server 6.x und höher funktionieren möglicherweise im Fingerabdruckmodus nicht korrekt.

Ablauf des ESXi-Zertifikats

Sie können im vSphere Client Informationen über den Ablauf von Zertifikaten anzeigen, die von VMCA oder Drittanbieter-Zertifizierungsstellen signiert wurden. Sie können Informationen zu allen Hosts, die von einem vCenter Server-System verwaltet werden, oder zu einzelnen Hosts abrufen. Ein gelber Alarm wird ausgelöst, wenn sich das Zertifikat im Status Läuft in Kürze ab (weniger als acht Monate) befindet. Ein roter Alarm wird ausgelöst, wenn sich das Zertifikat im Status Ablauf steht bevor (weniger als zwei Monate) befindet.

ESXi-Bereitstellung und -Zertifikate

Beim Start eines ESXi-Hosts von einem Installationsmedium besitzt der Host zunächst ein automatisch generiertes Zertifikat. Sobald er dem vCenter Server-System hinzugefügt wird, erhält er ein von VMCA als Stammzertifizierungsstelle signiertes Zertifikat.

Sie können auch benutzerdefinierte Zertifikate verwenden, die von einer Drittanbieter- oder Unternehmenszertifizierungsstelle für ESXi-Hosts signiert sind.

ESXi-Bereitstellung und -Zertifikate in Auto Deploy

Der Vorgang ist ähnlich für Hosts, die mit Auto Deploy bereitgestellt werden. Da diese Hosts jedoch keine Statusdaten speichern, wird das signierte Zertifikat vom Auto Deploy-Server in seinem lokalen Zertifikatspeicher gespeichert. Das Zertifikat wird bei nachfolgenden Starts der ESXi-Hosts wiederverwendet. Ein Auto Deploy-Server ist Teil einer eingebetteten Bereitstellung oder eines vCenter Server-Systems.

Wenn VMCA nicht verfügbar ist, wenn ein Auto Deploy-Host zum ersten Mal startet, versucht der Host zunächst, eine Verbindung herzustellen. Wenn der Host keine Verbindung herstellen kann, durchläuft er den Herunterfahren- und Neustartzyklus so lange, bis VMCA verfügbar wird und dem Host ein signiertes Zertifikat bereitgestellt werden kann.

Sie können Auto Deploy als untergeordnete Zertifizierungsstelle einer externen Zertifizierungsstelle festlegen. In diesem Fall werden die generierten Zertifikate mit dem Auto Deploy-SSL-Schlüssel signiert. Weitere Informationen finden Sie unter Festlegen von Auto Deploy als untergeordnete Zertifizierungsstelle.

Ab Version 8.0 können Sie benutzerdefinierte Zertifikate (von einer Zertifizierungsstelle signierte Zertifikate) mit Auto Deploy verwenden. Wenn der Host gestartet wird, ordnet Auto Deploy das benutzerdefinierte Zertifikat entweder einer MAC-Adresse oder der BIOS-UUID des ESXi-Hosts zu. Weitere Informationen finden Sie unter Verwenden benutzerdefinierter Zertifikate mit Auto Deploy.

Erforderliche Berechtigungen für die ESXi-Zertifikatsverwaltung

Das Recht Zertifikate.Zertifikate verwalten ist erforderlich, damit Benutzer Ihre ESXi-Hostzertifikate verwalten können.

Änderungen des ESXi-Hostnamens und der -IP-Adresse

Eine Änderung des ESXi-Hostnamens oder der -IP-Adresse kann sich darauf auswirken, ob vCenter Server das Zertifikat eines Hosts als gültig erachtet. Wie Sie den ESXi-Host zu vCenter Server hinzugefügt haben bestimmt, ob ein manueller Eingriff notwendig wird. Manueller Eingriff bedeutet, dass Sie den Host neu verbinden bzw. ihn von vCenter Server abtrennen und wieder hinzufügen.

Tabelle 2. Notwendigkeit eines manuellen Eingriffs bei Hostnamen- oder IP-Adressänderung
ESXi-Host zu vCenter Server hinzugefügt mithilfe ... Änderungen des ESXi-Hostnamens Änderungen der ESXi-IP-Adresse
Hostname Problem bei vCenter Server-Verbindung Manueller Eingriff erforderlich Kein Eingriff erforderlich
IP-Adresse Kein Eingriff erforderlich Problem bei vCenter Server-Verbindung Manueller Eingriff erforderlich