Die VMware Certificate Authority (VMCA) stellt für jeden neuen ESXi-Host ein signiertes Zertifikat bereit, dessen Rootzertifizierungsstelle standardmäßig die VMCA ist. Die Bereitstellung findet statt, wenn ein Host explizit oder im Zuge der Installation oder eines Upgrades von ESXi zu vCenter Server hinzugefügt wird.
Sie können ESXi-Zertifikate in vSphere Client und über die vim.CertificateManager-API im vSphere Web Services SDK anzeigen und verwalten. Es ist nicht möglich, ESXi-Zertifikate mithilfe von Management-CLIs für vCenter Server-Zertifikate anzuzeigen oder zu verwalten.
Ab vSphere 8.0 Update 3 können Sie ESXi-Zertifikate ersetzen, ohne den Host in den Wartungsmodus zu versetzen und ohne den Host oder einzelne Dienste neu starten zu müssen.
Zertifikate und Zertifikatmodi
Bei der Kommunikation zwischen ESXi und vCenter Server kommt TLS für beinahe den gesamten Verwaltungsdatenverkehr zum Einsatz.
vCenter Server unterstützt die folgenden Zertifikate und Zertifikatmodi für ESXi-Hosts.
| Zertifikatmodus | Beschreibung |
|---|---|
| VMware Certificate Authority (Standard) | Standardmäßig wird die VMware Certificate Authority als Zertifizierungsstelle (Certificate Authority, CA) für ESXi-Hostzertifikate verwendet. VMCA ist standardmäßig die Root-Zertifizierungsstelle, kann aber als Zwischenzertifizierungsstelle für eine andere Zertifizierungsstelle eingerichtet werden. Im VMCA-Modus können Sie Zertifikate von vSphere Client erneuern und aktualisieren. Er wird auch verwendet, wenn VMCA ein untergeordnetes Zertifikat ist. |
| Benutzerdefinierte Zertifizierungsstelle | Verwenden Sie diesen Modus, wenn Sie ausschließlich benutzerdefinierte, von einer Drittanbieter- oder Unternehmens-Zertifizierungsstelle signierte Zertifikate verwenden möchten. Im Modus Benutzerdefiniert sind Sie für die Verwaltung der Zertifikate verantwortlich. Ab vSphere 8.0 Update 3 können Sie benutzerdefinierte Zertifikate über vSphere Client verwalten.
Hinweis: Wenn Sie den Zertifikatmodus nicht zu „Benutzerdefinierte Zertifizierungsstelle“ (
Benutzerdefiniert) ändern, kann VMCA benutzerdefinierte Zertifikate ersetzen, beispielsweise wenn Sie in
vSphere Client die Option
Verlängern auswählen.
|
| Fingerabdruckmodus | vSphere 5.5 verwendete den Fingerabdruck-Modus, und dieser Modus ist in vSphere 6.x nach wie vor als Notfallmodus verfügbar. In diesem Modus prüft vCenter Server, ob das Zertifikat korrekt formatiert ist, jedoch nicht die Gültigkeit des Zertifikats. Selbst abgelaufene Zertifikate werden akzeptiert. Verwenden Sie diesen Modus nur, wenn Sie auf Probleme stoßen, die in den anderen beiden Modi nicht zu beheben sind. Einige Dienste aus vCenter Server 6.x und höher funktionieren möglicherweise im Fingerabdruckmodus nicht korrekt. |
Informationen zum Ändern des Zertifikatmodus für die Verwendung eines anderen Zertifikatstyps finden Sie unter Moduswechsel-Workflows für Zertifikate in ESXi und Ändern des ESXi-Zertifikatmodus.
Ablauf des ESXi-Zertifikats
Sie können im vSphere Client Informationen über den Ablauf von Zertifikaten anzeigen, die von VMCA oder Drittanbieter-Zertifizierungsstellen signiert wurden. Sie können Informationen zu allen Hosts, die von vCenter Server verwaltet werden, oder zu einzelnen Hosts abrufen. Ein gelber Alarm wird ausgelöst, wenn sich das Zertifikat im Status Läuft in Kürze ab (weniger als acht Monate) befindet. Ein roter Alarm wird ausgelöst, wenn sich das Zertifikat im Status Ablauf steht bevor (weniger als zwei Monate) befindet.
ESXi-Bereitstellung und -Zertifikate
Beim Start eines ESXi-Hosts von einem Installationsmedium besitzt der Host zunächst ein automatisch generiertes Zertifikat. Wenn Sie einen Host zum vCenter Server-System hinzufügen, stellt vCenter Server den Host mit einem von VMCA als Stammzertifizierungsstelle signiertes Zertifikat bereit.
Sie können auch benutzerdefinierte Zertifikate verwenden, die von einer Drittanbieter- oder Unternehmenszertifizierungsstelle für ESXi-Hosts signiert sind.
ESXi-Bereitstellung und -Zertifikate in Auto Deploy
Der Vorgang ist ähnlich für Hosts, die mit Auto Deploy bereitgestellt werden. Da diese Hosts jedoch keine Statusdaten speichern, wird das signierte Zertifikat vom Auto Deploy-Server in seinem lokalen Zertifikatspeicher gespeichert. Das Zertifikat wird bei nachfolgenden Starts der ESXi-Hosts wiederverwendet. Ein Auto Deploy-Server ist Teil einer eingebetteten Bereitstellung oder eines vCenter Server-Systems.
Wenn VMCA nicht verfügbar ist, wenn ein Auto Deploy-Host zum ersten Mal startet, versucht der Host zunächst, eine Verbindung herzustellen. Wenn der Host keine Verbindung herstellen kann, durchläuft er den Herunterfahren- und Neustartzyklus so lange, bis VMCA verfügbar wird und dem Host ein signiertes Zertifikat bereitgestellt werden kann.
Sie können Auto Deploy als untergeordnete Zertifizierungsstelle einer externen Zertifizierungsstelle festlegen. In diesem Fall werden die generierten Zertifikate mit dem Auto Deploy-SSL-Schlüssel signiert. Weitere Informationen finden Sie unter Festlegen von Auto Deploy als untergeordnete Zertifizierungsstelle.
In ESXi Version 8.0 und höher können Sie benutzerdefinierte Zertifikate (von einer Zertifizierungsstelle signierte Zertifikate) mit Auto Deploy verwenden. Wenn der Host gestartet wird, ordnet Auto Deploy das benutzerdefinierte Zertifikat entweder einer MAC-Adresse oder der BIOS-UUID des ESXi-Hosts zu. Weitere Informationen finden Sie unter Verwenden benutzerdefinierter Zertifikate mit Auto Deploy.
Erforderliche Berechtigungen für die ESXi-Zertifikatsverwaltung
Das Recht ist erforderlich, damit Benutzer Ihre ESXi-Hostzertifikate verwalten können.
Änderungen des ESXi-Hostnamens und der -IP-Adresse
Eine Änderung des ESXi-Hostnamens oder der -IP-Adresse kann sich darauf auswirken, ob vCenter Server das Zertifikat eines Hosts als gültig erachtet. Wie Sie den ESXi-Host zu vCenter Server hinzugefügt haben bestimmt, ob ein manueller Eingriff notwendig wird. Manueller Eingriff bedeutet, dass Sie den Host neu verbinden bzw. ihn von vCenter Server abtrennen und wieder hinzufügen.
| ESXi-Host zu vCenter Server hinzugefügt mithilfe ... | Änderungen des ESXi-Hostnamens | Änderungen der ESXi-IP-Adresse |
|---|---|---|
| Hostname | Problem bei vCenter Server-Verbindung Manueller Eingriff erforderlich | Kein Eingriff erforderlich |
| IP-Adresse | Kein Eingriff erforderlich | Problem bei vCenter Server-Verbindung Manueller Eingriff erforderlich |
