Ersetzen des Standardzertifikats durch ein benutzerdefiniertes Zertifikat mithilfe des vSphere Client

Sie können die standardmäßigen VMCA-signierten ESXi-Zertifikate über den vSphere Client durch benutzerdefinierte Zertifikate ersetzen.

Stellen Sie beim Importieren des benutzerdefinierten Zertifikats Folgendes sicher:

Fügen Sie Ihre gesamte CA-Zertifikatskette hinzu, bevor Sie mit der Ersetzung fortfahren.
Stellen Sie sicher, dass Sie das richtige CA-Zertifikat für Ihre Umgebung bereitstellen. Beim Importieren und Ersetzen wird das von Ihnen verwendete Zertifikat nicht überprüft.
Stellen Sie sicher, dass keine SHA1-Hashes in der Zertifikatskette vorhanden sind. SHA1 wird nicht unterstützt.
Fügen Sie die Root-Zertifizierungsstelle zu VECS hinzu, bevor Sie fortfahren. Falls nicht, wird der Host sofort nach der Zertifikatsersetzung getrennt.

Voraussetzungen

Generieren Sie die Zertifikatsignieranforderung und senden Sie sie an die Zertifizierungsstelle. Weitere Informationen hierzu finden Sie unter Generieren einer Zertifikatssignieranforderung für ein benutzerdefiniertes Zertifikat mithilfe von vSphere Client.
Wenn die Zertifizierungsstelle das Zertifikat zurückgibt, speichern Sie es auf den ESXi-Hosts.
Stellen Sie sicher, dass der ESXi-Zertifikatmodus auf benutzerdefiniert festgelegt ist. Weitere Informationen hierzu finden Sie unter Ändern des ESXi-Zertifikatmodus.
Aktualisieren Sie den vertrauenswürdigen Root-Speicher. Weitere Informationen hierzu finden Sie unter Aktualisieren des vCenter Server-Speichers TRUSTED_ROOTS (Benutzerdefinierte Zertifikate).

Navigieren Sie im vSphere Client-Bestand zum Host.
Klicken Sie auf Konfigurieren.
Klicken Sie unter System auf Zertifikat.
Wählen Sie im Dropdown-Menü Mit externer CA verwalten die Option Importieren und ersetzen aus.

Wählen Sie die Ersetzungsoption aus.

Option	Beschreibung
Durch externes CA-Zertifikat ersetzen, wenn CSR von ESXi erzeugt wird (eingebetteter privater Schlüssel)	Verwenden Sie diese Option, wenn Sie die CSR in ESXi generiert haben. In diesem Fall wird der private Schlüssel in ESXi gespeichert.
Durch externes CA-Zertifikat ersetzen, wobei CSR von einer Zertifizierungsstelle erzeugt wird (privater Schlüssel erforderlich)	Verwenden Sie diese Option, wenn Sie die CSR an eine Drittanbieter-Zertifizierungsstelle gesendet und das Zertifikat und den privaten Schlüssel zurückerhalten haben.

Klicken Sie auf Weiter.
Suchen Sie nach dem Zertifikat bzw. dem Zertifikat und dem privaten Schlüssel.
Überprüfen Sie die Informationen und klicken Sie dann auf Importieren und ersetzen.

Das benutzerdefinierte Zertifikat ersetzt das vorhandene Zertifikat.