Zertifikate für vCenter 7 im vSphere Client ausstellen, erneuern oder ersetzen

    Zertifikate für vSphere ausstellen und verwaltenDas Zertifikat-Management bereitet vielen vSphere-Admini­stratoren Bauch­schmerzen. Grün­de dafür waren bis dato die große Zahl an benö­tigten Zertifi­katen sowie die spar­tanische Tools-Aus­stattung. Die Version 7 bringt hier deut­lichen Verbes­serungen und bietet eine Ver­waltung über die GUI.

    Wie mein Beitrag zu vSphere 6.x zeigte, mussten dort bis zu sieben verschiedene Zertifikate verwaltet werden, was einen erheblichen Aufwand beim Erneuern bedeutete, vor allem wenn sie außerhalb der VMware-eigenen VMCA bereit­gestellt wurden. Ferner lagen die dazu benötigten Werkzeuge bisher nur als Kommandozeilen-Tools vor.

    Zertifikatsverwaltung im vSphere Client

    In der neuen Version verringert VMware die Komplexität des Themas, verkleinert die Anzahl der erforderlichen Zertifikate und integriert die Zertifikats­verwaltung vollständig in den HTML5-Client.

    Das neue Zertifikats-Management findet sich in der Navigation unter Verwaltung im Abschnitt Zertifikate unter Zertifikat­verwaltung. Die Seite bietet die folgenden Optionen:

    • Anzeigen und Verwalten von Details zum SSL-Zertifikat des vCenter Server-Computers (Machine SSL-Zertifikat)
    • Anzeigen von Details zu vertrauens­würdigen Stammzertifikaten und Hinzufügen neuer vertrauenswürdiger Stammzertifikate

    Die neue Zertifikatsverwaltung von vSphere 7 im HTML5-Client

    Lösungsbenutzer-Zertifikate werden ab vSphere 7 in der GUI ausgeblendet, denn sie gelten nun als veraltet ("deprecated"). Sie wurden laut VMware durch einen weniger komplexen, aber genauso sicheren Mechanismus ersetzt, um andere Produkte wie vRealize Operations oder vRealize Log Insight anzubinden.

    Übrigens: Das Lösungs­benutzer­zertifikat machine ist nicht mit dem SSL-Zertifikat machine identisch. Ersteres wird ausschließlich für den Austausch von SAML-Tokens benötigt, während das Zweite für SSL-Verbindungen mit einer Maschine verwendet wird.

    Mit einem Klick auf Details anzeigen lassen sich die Eigenschaften des Zertifikats ausgeben, ein­schließlich des Zeitraums, für den das Zertifikat gültig ist.

    Details der Machine-Zertifikats anzeigen

    Im Menü Aktionen des SSL-Zertifikats für den vCenter-Server stehen die Optionen Erneuern, Zertifikat importieren und ersetzen sowie Zertifikatssignierungs­anforderung, also das Generieren einen CSR, zur Auswahl.

    Mit den Befehlen im Kontextmenü lässt sich das Zertifikat erneuern oder ersetzen.

    Zertifikat erneuern

    Mit Erneuern kann man ein von der VMware CA, die in vCenter Server integriert ist, ausgestelltes Zertifikat verlängern. Hier muss man dann nur im Dialog Zertifikat mithilfe von VMCA verlängern auf den Button Erneuern klicken.

    Zertifikat mit Hilfe der in vCenter integrierten VMCA verlängern

    Diese Aktion führt dazu, dass die Dienste von vCenter durch den Neustart offline geschaltet werden, so dass davon abhängige Prozesse während dieser Zeit nicht verfügbar sind. Daher wird für den Austausch von Zertifikaten ein geplantes Wartungs­fenster vorgeschlagen.

    vCenter-Zertifikat ersetzen

    Mit der zweiten Option kann man das Maschinen­zertifikat von vCenter entweder durch das VMCA-Zertifikat oder durch ein selbst­signiertes Zertifikat ersetzen. Alternativ bietet sich an, ein von einer CA eines Drittanbieters signiertes Zertifikat zu installieren.

    Auswahl des Zertifikattyps, der ersetzt werden soll

    Wir wählen für die folgende Abbildung zunächst die erste Variante, füllen die Zertifikatsdetails nach den eigenen Vorgaben aus und klicken auf Replace.

    Zertifikatanforderung über die VMCA generieren, um ein bestehendes Zertifikat zu ersetzen.

    Die VMware CA generiert dann eine CSR, um das aktuelle Zertifikat zu ersetzen. Auch dieser Vorgang zieht wieder einen Neustart des vCenter-Servers nach sich, der etwa 10 bis 15 Minuten in Anspruch nehmen kann.

    Um ein selbstsigniertes Computer-Zertifikat für vCenter Server zu importieren oder zu ersetzen, dessen CSR von VMware CA erstellt wurde, wählt man dann bei Typ des zu ersetzenden Zertifikats auswählen den Eintrag Durch ein vom vCenter Server generiertes Zertifikat ersetzen.

    Hier muss der Admin dann mit Hilfe der beiden Schaltflächen Datei durchsuchen die jeweiligen Dateien zum Maschinen-SSL-Zertifikat und zur vertrauens­würdigen Root-CA angeben.

    Zertifikat durch eines ersetzen, das von einer externen CA ausgestellt wurde

    Um das aktuelle vCenter Server-Zertifikat durch eine von einem Drittanbieter ausgestellte Kombination aus Zertifikat und Schlüssel zu ersetzen, wählt man ebenfalls Zertifikat importieren oder ersetzen und dann Durch externes CA-Zertifikat ersetzen (privater Schlüssel erforderlich). Hier importiert man ein CA-signiertes Zertifikat eines Drittanbieters.

    Zum Generieren einer Zertifikats­signierungs­anforderung (CSR) muss man die passenden Informationen wie den allgemeinen Namen, die Organisation, die Organisationseinheit und das Land eingeben.

    Zertifikatanforderung erzeugen

    Auch ein CSR lässt sich in Version 7 nun über GUI erzeugen.

    Zertifikat über die integrierte Zertifizierungsverwaltung anfordern

    Hierzu wählt man im Menü Aktionen des aktuellen Maschinen­zertifikats den Eintrag Zertifikats­signierungs­anforderungen generieren und füllt den Dialog Info eingeben gemäß den eigenen Anforderungen aus.

    Keine Kommentare