Die Sicherheitsrichtlinien Ihres Unternehmens erfordern möglicherweise, dass Sie auf allen Ihren Hosts das ESXi-Standard-SSL-Zertifikat durch ein von einer Zertifizierungsstelle (CA) signiertes Zertifikat eines Drittanbieters ersetzen.

Die vSphere-Komponenten verwenden standardmäßig das VMCA-signierte Zertifikat und den Schüssel, das/der während der Installation erstellt wird. Wenn Sie versehentlich das VMCA-signierte Zertifikat löschen, entfernen Sie den Host vom vCenter Server-System und fügen Sie ihn dann wieder hinzu. Wenn Sie den Host hinzufügen, fordert der vCenter Server ein neues Zertifikat von der VMCA an und stellt es für den Host bereit.

Sie können VMCA-signierte Zertifikate durch Zertifikate einer vertrauenswürdigen Zertifizierungsstelle ersetzen, d. h. entweder einer kommerziellen Zertifizierungsstelle oder einer unternehmenseigenen Zertifizierungsstelle, wenn Ihre Unternehmensrichtlinie dies vorschreibt.

Sie können die Standardzertifikate mithilfe des vSphere Client oder der CLI durch benutzerdefinierte Zertifikate ersetzen.

Hinweis: Sie können außerdem die durch vim.CertificateManager und vim.host.CertificateManager verwalteten Objekte im vSphere Web Services SDK verwenden. Siehe die Dokumentation zu vSphere Web Services SDK.

Vor dem Ersetzen des Zertifikats müssen Sie den Speicher TRUSTED_ROOTS in VECS auf dem vCenter Server-System, das den Host verwaltet, aktualisieren, um sicherzustellen, dass der vCenter Server und der ESXi-Host ein Vertrauensverhältnis haben.

Hinweis: Wenn Sie SSL-Zertifikate auf einem ESXi-Host entfernen, der zu einem vSAN-Cluster gehört, führen Sie die im VMware-Knowledgebase-Artikel unter https://kb.vmware.com/s/article/56441 angegebenen Schritte durch.

Anforderungen für ESXi-Zertifikatsignieranforderungen für benutzerdefinierte Zertifikate

Verwenden Sie eine Zertifikatssignieranforderung mit den folgenden Eigenschaften:

  • Schlüsselgröße: 2048 Bit (Minimum) bis 8192 (Maximum) (PEM-codiert)
  • PEM-Format. VMware unterstützt PKCS8 und PKCS1 (RSA-Schlüssel). Wenn Schlüssel zu VECS hinzugefügt werden, werden sie in PKCS8 konvertiert.
  • x509 Version 3
  • Für Stammzertifikate muss die Zertifizierungsstellenerweiterung auf „true“ festgelegt sein, und „cert sign“ muss in der Liste der Anforderungen vorhanden sein.
  • „SubjectAltName“ muss DNS-Name=<Maschinen-FQDN> enthalten.
  • CRT-Format
  • Enthält die folgenden Schlüsselverwendungen: digitale Signatur, Schlüsselverschlüsselung
  • Startzeit von einem Tag vor dem aktuellen Zeitpunkt.
  • CN (und SubjectAltName) auf den Hostnamen (oder die IP-Adresse) festgelegt, den/die der ESXi-Host in der vCenter Server-Bestandsliste hat.
Hinweis: Das FIPS-Zertifikat von vSphere validiert nur die RSA-Schlüsselgrößen 2048 und 3072. Weitere Informationen hierzu finden Sie unter Überlegungen bei der Verwendung von FIPS.
Die folgenden Zertifikate werden von vSphere nicht unterstützt.
  • Zertifikate mit Platzhalterzeichen.
  • Die Algorithmen md2WithRSAEncryption, md5WithRSAEncryption, RSASSA-PSS, dsaWithSHA1, ecdsa_with_SHA1 und sha1WithRSAEncryption werden nicht unterstützt.

Weitere Informationen zum Generieren der CSR mit dem vSphere Client finden Sie unter Generieren einer Zertifikatssignieranforderung für ein benutzerdefiniertes Zertifikat mithilfe von vSphere Client.

Informationen darüber, wie Sie die CSR mit der CLI generieren, finden Sie im VMware-Knowledgebase-Artikel unter https://kb.vmware.com/s/article/2113926.