Standardmäßig stellt VMware Certificate Authority (VMCA) ESXi mit Zertifikaten bereit. Verwenden Sie den benutzerdefinierten Modus, wenn Sie VMCA-Zertifikate durch benutzerdefinierte Zertifikate ersetzen. Verwenden Sie den alten Fingerabdruckmodus für das Debugging. Wenn Sie einen Moduswechsel benötigen, sollten Sie die möglichen Auswirkungen vor Beginn prüfen.

Eine Erläuterung der Zertifikatmodi finden Sie unter Zertifikate und Zertifikatmodi.

Verwenden von benutzerdefinierten ESXi-Zertifikaten

Hinweis: Wenn Sie von der Verwendung von VMCA-Zertifikaten zu benutzerdefinierten Zertifikaten wechseln, planen Sie beim Generieren von Zertifikaten Zeit für die Genehmigungs- und Erfüllungsprozesse der Organisation ein. Planen Sie außerdem so, dass das aktuelle Zertifikat während des Wechsels nicht abläuft.

Wenn Ihre Unternehmensrichtlinie die Verwendung einer anderen Root-Zertifizierungsstelle als VMCA erfordert, können Sie den Zertifikatmodus in Ihrer Umgebung nach sorgfältiger Planung wechseln. Der Workflow lautet wie folgt:

  1. Wechseln Sie in den benutzerdefinierten Modus. Weitere Informationen hierzu finden Sie unter Ändern des ESXi-Zertifikatmodus.

    Wenn Sie den Modus wechseln, kann vSphere Client das Dropdown-Menü Verwaltung mit externer Zertifizierungsstelle aktivieren, sodass Sie die Zertifikatssignieranforderung generieren können.

  2. Fügen Sie das Stammzertifikat der benutzerdefinierten Zertifizierungsstelle zu VMware Endpoint Certificate Store (VECS) hinzu.
  3. Generieren Sie die Zertifikatssignieranforderung und rufen Sie die Zertifikate ab, die Sie verwenden möchten.

    Möglicherweise müssen Sie einige Zeit warten, bis die CSR zurückgesendet wird.

  4. Importieren Sie das benutzerdefinierte CA-Zertifikat in den vCenter Server-Host.

    Warten Sie einige Zeit, bis vCenter Server das benutzerdefinierte CA-Zertifikat an die ESXi-Hosts verteilt hat.

Wechseln vom benutzerdefinierten Zertifizierungsstellen-Modus zum VMCA-Modus

Wenn Sie den benutzerdefinierten Zertifizierungsstellen-Modus verwenden und zu dem Schluss kommen, dass VMCA sich für Ihre Umgebung besser eignet, können Sie nach sorgfältiger Planung den Modus wechseln. Der Workflow lautet wie folgt:

  1. Entfernen Sie alle Hosts aus dem vCenter Server-System.
  2. Entfernen Sie auf dem vCenter Server-System das Stammzertifikat der Drittanbieterzertifizierungsstelle aus VECS.
  3. Wechseln Sie in den VMCA-Modus. Weitere Informationen hierzu finden Sie unter Ändern des ESXi-Zertifikatmodus.
  4. Fügen Sie die Hosts zum vCenter Server-System hinzu.
Hinweis: Jeder andere Workflow für diesen Moduswechsel kann zu unvorhergesehenem Verhalten führen.

Beibehalten von Zertifikaten des Fingerabdruckmodus während des Upgrade

Der Wechsel vom VMCA-Modus zum Fingerabdruckmodus kann erforderlich sein, wenn Sie Probleme mit den VMCA-Zertifikaten haben. Im Fingerabdruckmodus prüft das vCenter Server-System nur, ob ein Zertifikat vorhanden und richtig formatiert ist, aber nicht, ob das Zertifikat gültig ist. Weitere Anweisungen finden Sie im Abschnitt Ändern des ESXi-Zertifikatmodus.

Wechseln vom Fingerabdruckmodus in den VMCA-Modus

Wenn Sie den Fingerabdruckmodus verwenden und VMCA-signierte Zertifikate verwenden möchten, ist für den Wechsel einige Planung erforderlich. Der Workflow lautet wie folgt:

  1. Entfernen Sie alle ESXi-Hosts aus dem vCenter Server-System.
  2. Wechseln Sie in den VMCA-Modus. Weitere Informationen hierzu finden Sie unter Ändern des ESXi-Zertifikatmodus.
  3. Fügen Sie die ESXi-Hosts zum vCenter Server-System hinzu.
Hinweis: Jeder andere Workflow für diesen Moduswechsel kann zu unvorhergesehenem Verhalten führen.

Wechseln vom benutzerdefinierten Zertifizierungsstellen-Modus in den Fingerabdruckmodus

Wenn Sie Probleme mit der benutzerdefinierten Zertifizierungsstelle haben, können Sie vorübergehend in den Fingerabdruckmodus wechseln. Der Wechsel funktioniert nahtlos, wenn Sie den Anweisungen unter Ändern des ESXi-Zertifikatmodus folgen. Nach dem Moduswechsel prüft das vCenter Server-System nur das Format des Zertifikats, aber nicht mehr die Gültigkeit des Zertifikats selbst.

Wechseln vom Fingerabdruckmodus in den benutzerdefinierten Zertifizierungsstellen-Modus

Wenn Sie zur Fehlerbehebung in Ihrer Umgebung in den Fingerabdruckmodus gewechselt sind und wieder den benutzerdefinierten Zertifizierungsstellen-Modus verwenden möchten, müssen Sie zunächst die erforderlichen Zertifikate generieren. Der Workflow lautet wie folgt:

  1. Entfernen Sie alle ESXi-Hosts aus dem vCenter Server-System.
  2. Fügen Sie das Root-Zertifikat der benutzerdefinierten Zertifizierungsstelle dem TRUSTED_ROOTS-Speicher auf VECS im vCenter Server-System hinzu. Weitere Informationen hierzu finden Sie unter Aktualisieren des vCenter Server-Speichers TRUSTED_ROOTS (Benutzerdefinierte Zertifikate).
  3. Gehen Sie für jeden ESXi-Host wie folgt vor:
    1. Stellen Sie das Zertifikat und den Schlüssel der benutzerdefinierten Zertifizierungsstelle bereit.
    2. Starten Sie die Dienste auf dem Host neu.
  4. Wechseln Sie in den benutzerdefinierten Modus. Weitere Informationen hierzu finden Sie unter Ändern des ESXi-Zertifikatmodus.
  5. Fügen Sie die ESXi-Hosts zum vCenter Server-System hinzu.