Ab vSphere 8.0 können Sie den Auto Deploy-Server so einrichten, dass ESXi-Hosts mit benutzerdefinierten Zertifikaten bereitgestellt werden, die von einer Drittanbieter-Zertifizierungsstelle (CA) oder Ihrer eigenen internen Zertifizierungsstelle signiert wurden. Standardmäßig stattet der Auto Deploy-Server ESXi-Host mit Zertifikaten aus, die von der VMware Certificate Authority (VMCA) signiert wurden.

Vor vSphere 8.0 haben Sie folgende Optionen für die Verwaltung von Zertifikaten mit Auto Deploy:

  • Verwenden von vCenter Server und der integrierten VMware Certificate Authority (Standardeinstellung).
  • Auto Deploy wird zu einer untergeordneten Zertifizierungsstelle einer Drittanbieter-Zertifizierungsstelle. In diesem Fall signiert der Auto Deploy-SSL-Schlüssel die Zertifikate.

Ab vSphere 8.0 können Sie benutzerdefinierte Zertifikate auf Auto Deploy hochladen, die entweder von einer Drittanbieter-Zertifizierungsstelle oder Ihrer eigenen internen Zertifizierungsstelle signiert wurden. Auto Deploy ordnet das benutzerdefinierte Zertifikat entweder der MAC-Adresse oder der BIOS-UUID des ESXi-Hosts zu. Bei jedem Start eines Auto Deploy-Hosts prüft Auto Deploy, ob ein benutzerdefiniertes Zertifikat vorhanden ist. Wenn Auto Deploy ein benutzerdefiniertes Zertifikat findet, verwendet es dieses Zertifikat, anstatt es über die VMCA zu generieren.

Zu den allgemeinen Schritten für diese Aufgabe gehören:

  1. Generieren der benutzerdefinierten Zertifikatanforderung für eine Drittanbieter-Zertifizierungsstelle oder für Ihre eigene interne Zertifizierungsstelle.
  2. Das signierte benutzerdefinierte Zertifikat (Schlüssel und Zertifikat) wird abgerufen und lokal gespeichert.
  3. Wenn Sie eine Zertifizierungsstelle eines Drittanbieters verwenden und dies zuvor nicht geschehen ist, stellen Sie sicher, dass das Stammzertifikat Ihrer Zertifizierungsstelle in den TRUSTED_ROOTS-Speicher auf dem vCenter Server hochgeladen wird.
  4. Hochladen des benutzerdefinierten Zertifikats auf Auto Deploy und Zuordnen des Zertifikats mit der MAC-Adresse oder der BIOS-UUID eines ESXi-Hosts.
  5. Starten des ESXi-Hosts.

Wenn Sie einem ESXi-Host ein benutzerdefiniertes Zertifikat zuweisen, überträgt Auto Deploy das Zertifikat beim nächsten Start von Auto Deploy an den Host.

Beachten Sie bei der Verwendung von benutzerdefinierten Zertifikaten und Auto Deploy Folgendes.

  • Sie müssen die PowerCLI-Cmdlets Add-CustomCertificate, Remove-CustomCertificate und List-CustomCertificate verwenden, um mit Auto Deploy verwendete benutzerdefinierte Zertifikate zu verwalten. Die Funktion zum Verwalten von benutzerdefinierten Zertifikaten ist im vSphere Client nicht verfügbar.
  • Um ein benutzerdefiniertes Zertifikat zu aktualisieren, das für Auto Deploy verwendet wird, müssen Sie das Add-CustomCertificate-Cmdlet erneut ausführen.
  • Prüfen Sie Ihr benutzerdefiniertes Zertifikat unbedingt auf potenzielle Fehler. Auto Deploy überprüft nur, ob das benutzerdefinierte Zertifikat den X.509-Zertifikatstandards entspricht und dass der Schwellenwert für den Ablauf des Zertifikats auf mindestens 240 Tage festgelegt ist. Auto Deploy führt keine andere Zertifikatvalidierung oder -überprüfung durch. Um den Schwellenwert des Zertifikats zu ändern, können Sie das Set-DeployOption -Key certificate-refresh-threshold-Cmdlet ausführen.
  • Wenn Sie später ein benutzerdefiniertes Zertifikat mithilfe des Remove-CustomCertificate-Cmdlet von einem ESXi-Host entfernen, müssen Sie den Host neu starten, damit die Änderung wirksam wird.

Weitere Informationen zu benutzerdefinierten Zertifikaten und Auto Deploy finden Sie in der Installation und Einrichtung von VMware ESXi-Dokumentation.

Voraussetzungen

Vergewissern Sie sich, dass Sie über Folgendes verfügen:
  • Fordern Sie ein Zertifikat von Ihrer Zertifizierungsstelle an. Die Zertifikatsdatei muss die folgenden Anforderungen erfüllen.
    • Schlüsselgröße: 2048 Bit (Minimum) bis 8192 (Maximum) (PEM-codiert)
    • PEM-Format. VMware unterstützt PKCS8 und PKCS1 (RSA-Schlüssel). Wenn Schlüssel zu VECS hinzugefügt werden, werden sie in PKCS8 konvertiert.
    • x509 Version 3
    • CRT-Format
    • Die CA-Erweiterung auf „true“ festgelegt
    • Schlüsselverwendung der Zertifikatsignierung
    • Startzeit von einem Tag vor dem aktuellen Zeitpunkt
    Hinweis: Das FIPS-Zertifikat von vSphere validiert nur die RSA-Schlüsselgrößen 2048 und 3072. Weitere Informationen hierzu finden Sie unter Überlegungen bei der Verwendung von FIPS.
  • MAC-Adresse oder BIOS-UUID des ESXi-Hosts. Bewerten Sie, welcher Ansatz für Ihre Umgebung am sinnvollsten ist. Die BIOS-UUID ist stabiler und kann weniger geändert werden als die MAC-Adresse. Wenn Sie Netzwerkadapter in einem ESXi-Host ändern, ändert sich die MAC-Adresse. Die MAC-Adresse ist jedoch möglicherweise vertrauter und lässt sich leichter abrufen als die BIOS-UUID.
  • Mindestens PowerCLI Version 12.6.0. Weitere Informationen zu Auto Deploy PowerCLI-Cmdlets finden Sie im Thema „Auto Deploy PowerCLI-Cmdlet – Überblick“ in der Installation und Einrichtung von VMware ESXi-Dokumentation.

Stellen Sie sicher, dass Sie über die folgenden Berechtigungen verfügen:

  • Benutzerdefiniertes Zertifikat hinzufügen: Autodeploy.Regel.Erstellen
  • Benutzerdefinierte Zertifikatinformationen abrufen: System.Lesen

Prozedur

  1. Generieren Sie die Zertifikatanforderung.
    1. Erstellen Sie mithilfe der zuvor für die Zertifikatanforderung aufgeführten Anforderungen eine Konfigurationsdatei (.cfg).
    2. Um eine CSR-Datei und eine Schlüsseldatei zu generieren, führen Sie den Befehl openssl req aus und übergeben Sie die Konfigurationsdatei (.cfg).
      Beispiel: 
      openssl req -new -config custom_cert.cfg -days 4200 -sha256 -keyout rui.key -out rui.csr

      In diesem Befehl findet Folgendes statt:

      • -new generiert eine neue Zertifikatanforderung.
      • -config custom_cert.cfg gibt Ihre benutzerdefinierte.cfg-Datei an.
      • -days 4200 gibt 4200 Tage an, für die das Zertifikat zertifiziert werden soll.
      • -sha256 gibt den Meldungs-Digest zum Signieren der Anforderung mit an.
      • -keyout rui.key gibt die Datei an, in die der neu erstellte private Schlüssel geschrieben werden soll.
      • -out rui.csr gibt die Ausgabedatei an, in die geschrieben werden soll.
  2. Senden Sie die Zertifikatanforderung entweder an Ihre Drittanbieter-Zertifizierungsstelle oder führen Sie, wenn Sie Ihre eigenen Zertifikate signieren, den Befehl openssl x509 -req aus, um Ihr benutzerdefiniertes Zertifikat aus der Datei rui.csr zu generieren.
    Beispiel: 
    openssl x509 -req -in rui.csr -CA "/etc/vmware-rbd/ssl/rbd-ca.crt" -CAkey \
"/etc/vmware-rbd/ssl/rbd-ca.key" -extfile \
openssl.cfg -extensions x509 -CAserial "/etc/vmware-rbd/ssl/rbd-ca.srl" -days \
4200 -sha256 -out signed_rui.crt

    In diesem Befehl findet Folgendes statt:

    • -in rui.csr gibt die Eingabedatei an.
    • -CA "/etc/vmware-rbd/ssl/rbd-ca.crt" gibt das Verzeichnis an, das für die Verifizierung des Serverzertifikats verwendet werden soll.
    • -CAkey "/etc/vmware-rbd/ssl/rbd-ca.key" legt den privaten Schlüssel der Zertifizierungsstelle fest, um ein Zertifikat mit zu signieren.
    • -extfile openssl.cfg gibt eine zusätzliche, optionale Konfigurationsdatei zum Lesen von Zertifikaterweiterungen an.
    • -extensions x509 gibt die Verwendung von x509-Zertifikaterweiterungen an.
    • -CAserial "/etc/vmware-rbd/ssl/rbd-ca.srl" verwendet die Seriennummer in rbd-ca.srl, um ein Zertifikat zu signieren.
    • -days 4200 gibt 4200 Tage an, für die das Zertifikat zertifiziert werden soll.
    • -sha256 gibt den Meldungs-Digest zum Signieren der Anforderung mit an.
    • -out signed_rui.crt gibt die Ausgabedatei an, in die geschrieben werden soll.
  3. (Optional) Wenn Sie das Zertifikat Ihrer signaturgebenden Zertifizierungsstelle noch nicht in den TRUSTED_ROOTS-Speicher im VMware Endpoint Certificate Store (VECS) hochgeladen haben, führen Sie die folgenden Schritte auf dem vCenter Server aus, auf dem der Auto Deploy-Dienst ausgeführt wird.
    1. Kopieren Sie das Zertifikat mithilfe eines Tools wie WinSCP in den vCenter Server.
    2. Melden Sie sich bei vCenter Server mithilfe von SSH an und führen Sie folgenden Befehl aus. 
      /usr/lib/vmware-vmafd/bin/dir-cli trustedcert publish --cert path_to_ca_certificate
  4. Rufen Sie entweder die MAC-Adresse oder die BIOS-UUID des ESXi-Hosts ab.
  5. Führen Sie die folgenden Schritte aus, um das benutzerdefinierte Zertifikat zu Auto Deploy hinzuzufügen.
    1. Um eine Verbindung mit dem vCenter Server herzustellen, führen Sie das Connect-VIServer-Cmdlet aus. 
      Connect-VIServer -server VC_ip_address -User administrator_user -Password 'password'
    2. (Optional) Um vorhandene benutzerdefinierte Zertifikate anzuzeigen, führen Sie das Get-CustomCertificates-Cmdlet aus.
      Beim ersten Hinzufügen von benutzerdefinierten Zertifikaten werden keine von diesem Cmdlet zurückgegebenen Zertifikate angezeigt.
    3. Um das benutzerdefinierte Zertifikat mit dem ESXi-Host zu verknüpfen, führen Sie das Add-CustomCertificate-Cmdlet aus. 
      Add-CustomCertificate -HostID [MAC_Address | BIOS_UUID] -Certificate "path_to_custom_cert" -Key "path_to_custom_cert_key"
      Sie können entweder die MAC-Adresse oder die BIOS-UUID des Hosts angeben. Auto Deploy lädt das benutzerdefinierte Zertifikat auf den Host hoch.
    4. Um zu überprüfen, ob das Zertifikat hochgeladen wurde, führen Sie das Get-CustomCertificates-Cmdlet aus.
      Sie erhalten eine Ausgabe ähnlich der Folgenden: 
      Name:     CustomHostCert-1
CertificateId:      1
HostId:             02:08:b0:8e:18:a2
ExpirationTime: 1   2/28/2033 10:45:50 AM
TimeCreated:        9/29/2022 7:40:28 AM
LastModified:       9/29/2022 7:40:28 AM
AssociatedHostName:
      AssociatedHostName ist vorerst leer. Nachdem Sie den Host gestartet haben, spiegelt die Ausgabe den Namen des ESXi-Hosts wider, der dem benutzerdefinierten Zertifikat zugeordnet ist.
  6. Starten Sie den ESXi-Host.
  7. Um zu überprüfen, ob das benutzerdefinierte Zertifikat mit dem vCenter Server verknüpft ist, führen Sie das Get-CustomCertificates-Cmdlet erneut aus.
    Die Ausgabe wird wie folgt angezeigt. 
    Name:     CustomHostCert-1
CertificateId:      1
HostId:             02:08:b0:8e:18:a2
ExpirationTime: 1   2/28/2033 10:45:50 AM
TimeCreated:        9/29/2022 7:40:28 AM
LastModified:       9/29/2022 7:40:28 AM
AssociatedHostName: host1.example.com
    Jetzt enthält AssociatedHostName den Namen des ESXi-Hosts.