Standardeinstellungen für ESXi-Zertifikate

Wenn ein Host zu einem vCenter Server-System hinzugefügt wird, sendet vCenter Server eine Zertifikatsignieranforderung (Certificate Signing Request, CSR) für den Host an VMCA. Die meisten Standardwerte sind für viele Situationen gut geeignet, aber unternehmensspezifische Daten können geändert werden.

Sie können viele Standardeinstellungen über den vSphere Client ändern. Ändern Sie eventuell das Unternehmen und Ortsangaben. Weitere Informationen hierzu finden Sie unter Ändern der Standardeinstellungen für ESXi-Zertifikate.

Tabelle 1. CSR-Einstellungen für ESXi
Parameter	Standardwert	Erweiterte Option
Schlüssellänge	2048	Nicht zutreffend
Schlüsselalgorithmus	RSA	Nicht zutreffend
Zertifikat-Signaturalgorithmus	sha256WithRSAEncryption	Nicht zutreffend
Allgemeiner Name	Der Name des Hosts, wenn dieser dem vCenter Server nach dem Hostnamen hinzugefügt wurde. Die IP-Adresse des Hosts, wenn dieser dem vCenter Server nach der IP-Adresse hinzugefügt wurde.	Nicht zutreffend
Land	US	vpxd.certmgmt.certs.cn.country
E-Mail-Adresse	[email protected]	vpxd.certmgmt.certs.cn.email
Ort	Palo Alto	vpxd.certmgmt.certs.cn.localityName
Name der Organisationseinheit	VMware Engineering	vpxd.certmgmt.certs.cn.organizationalUnitName
Organisationsname	VMware	vpxd.certmgmt.certs.cn.organizationName
Bundesland/Kanton	Kalifornien	vpxd.certmgmt.certs.cn.state
Anzahl der Tage, die das Zertifikat gültig ist.	1825	vpxd.certmgmt.certs.daysValid
Fester Schwellenwert für den Ablauf des Zertifikats. vCenter Server löst einen roten Alarm aus, wenn dieser Schwellenwert erreicht wird.	30 Tage	vpxd.certmgmt.certs.hardThreshold
Abfrageintervall für Überprüfungen der Gültigkeit des vCenter Server-Zertifikats.	5 Tage	vpxd.certmgmt.certs.pollIntervalDays
Soft-Schwellenwert für den Ablauf des Zertifikats. vCenter Server löst ein Ereignis aus, wenn dieser Schwellenwert erreicht wird.	240 Tage	vpxd.certmgmt.certs.softThreshold
Modus, den vCenter Server verwendet, um zu ermitteln, ob vorhandene Zertifikate ersetzt werden. Ändern Sie diesen Modus, um benutzerdefinierte Zertifikate beim Upgrade beizubehalten. Weitere Informationen hierzu finden Sie unter ESXi-Host-Upgrades und Zertifikate.	vmca Sie können auch „Fingerabdruck“ oder „benutzerdefiniert“ festlegen. Weitere Informationen hierzu finden Sie unter Ändern des ESXi-Zertifikatmodus.	vpxd.certmgmt.mode

Ändern der Standardeinstellungen für ESXi-Zertifikate

Wenn ein ESXi-Host zu einem vCenter Server-System hinzugefügt wird, sendet vCenter Server eine Zertifikatsignieranforderung (Certificate Signing Request, CSR) für den Host an VMCA. Sie können einige der Standardeinstellungen in der CSR ändern, indem Sie die erweiterten Einstellungen von vCenter Server im vSphere Client verwenden.

Eine Liste der Standardeinstellungen finden Sie in der vorherigen Tabelle. Einige der Standardwerte können nicht geändert werden.

Prozedur

Wählen Sie im vSphere Client das vCenter Server-System aus, das die Hosts verwaltet.
Klicken Sie auf Konfigurieren und anschließend auf Erweiterte Einstellungen.
Klicken Sie auf Einstellungen bearbeiten.
Klicken Sie auf das Symbol Filter in der Spalte „Name“ und geben Sie im Feld „Filter“ den Wert vpxd.certmgmt ein, um ausschließlich Parameter der Zertifikatsverwaltung anzuzeigen.
Ändern Sie den Wert der vorhandenen Parameter entsprechend der Unternehmensrichtlinie und klicken Sie auf Speichern.
Wenn Sie das nächste Mal einen Host zu vCenter Server hinzufügen, werden die neuen Einstellungen in der CSR, die vCenter Server an VMCA sendet, sowie im Zertifikat verwendet, das dem Host zugewiesen ist.

Nächste Maßnahme

Änderungen an den Zertifikatmetadaten betreffen nur neue Zertifikate. Wenn Sie die Zertifikate von Hosts ändern möchten, die bereits vom vCenter Server-System verwaltet werden, können Sie die Hosts trennen und erneut verbinden oder die Zertifikate verlängern.