Wenn Sie die VMware-Zertifizierungsstelle (VMCA) zum Zuweisen von Zertifikaten zu Ihren Hosts verwenden, können Sie diese Zertifikate über den vSphere Client verlängern. Wenn Sie entweder VMCA-Zertifikate oder benutzerdefinierte Zertifikate verwenden, können Sie alle Zertifikate aus dem TRUSTED_ROOTS-Speicher aktualisieren, der mit vCenter Server verknüpft ist.

Sie können den vSphere Client verwenden, um Ihre VMCA-Zertifikate zu verlängern, bevor sie ablaufen oder wenn Sie für den Host aus anderen Gründen ein neues Zertifikat bereitstellen möchten. Wenn Sie das VMCA-Zertifikat nicht vor Ablauf verlängern, wird das Zertifikat von vCenter Server verlängert, wenn die Verbindung zum Host getrennt und wiederhergestellt wird. Durch das erneute Hinzufügen des Hosts zu vCenter Server wird die Vertrauensstellung wiederhergestellt und es vCenter Server ermöglicht, das erneuerte Zertifikat uneingeschränkt auszustellen.

Standardmäßig verlängert vCenter Server die VMCA-Zertifikate eines Hosts mit dem Status „Abgelaufen“, „Ablauf steht bevor“ oder „Läuft in Kürze ab“, und immer, wenn der Host der Bestandsliste hinzugefügt wird oder wenn seine Verbindung wiederhergestellt wird.

Sie können ein ESXi-Zertifikat mit einem Ablaufdatum, das nach dem Ablaufdatum des vertrauenswürdigen Rootzertifikats liegt, nicht verlängern. Beispiel: Wenn die erweiterte Option ESXi vpxd.certmgmt.certs.daysValid auf fünf Jahre festgelegt ist und Ihr vertrauenswürdiges Rootzertifikat in zwei Jahren abläuft, ist das Ablaufdatum des ESXi-Zertifikats auf zwei Jahre beschränkt.

Sie können den vSphere Client verwenden, um alle Zertifikate, die sich derzeit im TRUSTED_ROOTS-Speicher des vCenter Server VECS-Speichers befinden, an den ESXi-Host zu übertragen. Verwenden Sie diese Funktion, wenn Sie die vertrauenswürdigen Roots auf einem ESXi-Host aktualisieren müssen. Diese Funktion ist sowohl für VMCA als auch für benutzerdefinierte Zertifikate vorhanden.

Voraussetzungen

Überprüfen Sie Folgendes:
  • Bei Verwendung von VMCA-Zertifikaten ist der Zertifikatmodus auf vmca festgelegt.
  • Wenn Sie benutzerdefinierte Zertifikate verwenden, ist der Zertifikatmodus auf Benutzerdefiniert festgelegt.
  • Die ESXi-Hosts sind mit dem vCenter Server-System verbunden.
  • Zwischen dem vCenter Server-System und den ESXi-Hosts findet eine ordnungsgemäße Uhrzeitsynchronisierung statt.
  • DNS-Auflösung funktioniert zwischen dem vCenter Server-System und den ESXi-Hosts.
  • Die Zertifikate MACHINE_SSL_CERT und Trusted_Root des vCenter Server-Systems sind gültig und nicht abgelaufen. Informationen finden Sie im VMware-Knowledgebase-Artikel unter https://kb.vmware.com/s/article/2111411.
  • Die ESXi-Hosts befinden sich nicht im Wartungsmodus.
Hinweis: Wenn Sie benutzerdefinierte Zertifikate verwenden und sie verlängern müssen, importieren Sie die Zertifikate erneut.

Prozedur

  1. Navigieren Sie zum Host im Navigator von vSphere Client.
  2. Klicken Sie auf Konfigurieren.
  3. Klicken Sie unter System auf Zertifikat.
    Sie können die Details zum Zertifikat des ausgewählten Hosts anzeigen.
  4. Wählen Sie die entsprechende Option basierend auf dem verwendeten Zertifikatstyp aus.
    Option Beschreibung
    Mit VMCA verwalten > Verlängern Lädt ein frisch signiertes Zertifikat für den Host von der VMCA.
    Mit VMCA verwalten > CA-Zertifikate aktualisieren

    oder

    Mit externer CA verwalten > CA-Zertifikate aktualisieren

    		 Überträgt alle Zertifikate im TRUSTED_ROOTS-Speicher im VECS-Speicher von vCenter Server an den Host.