Ungültiges Zertifikat: Browser-Warnung bei vSphere Web Client beseitigen


    Tags: ,

    SSL-ZertifikateVerbindet man sich mit einem frisch installierten vCenter Server, dann warnt der Web-Browser vor einem nicht vertrauens­würdigen Zertifikat. Die solideste Lösung besteht darin, im Unter­nehmens-PKI ein neues Zertifikat für vCenter auszustellen. Am einfachsten ist es jedoch, das Root-Zertifikat der VMware Certificate Authority in den Browser zu übernehmen.

    Der mit vSphere 6.0 eingeführte Platform Services Controller (PSC) enthält eine eigene Zertifizierungs­stelle mit der Bezeichnung VMware Certificate Authority (VMCA). Sie stellt Zertifikate für Maschinen aus, auf denen VMware-Dienste laufen, sowie für ESXi-Hosts und Lösungsbenutzer (sie entsprechen den Service Accounts unter Windows).

    VMCA mit selbst signiertem Zertifikat

    VMCA ist somit keine generelle Zertifizierungs­stelle, vielmehr beschränkt sich ihr Einsatz auf die Komponenten der VMware-Plattform. Im normalen Betriebs­modus verwendet VMCA ein selbst signiertes Zertifikat. Entsprechend endet die Vertrauenskette beim Root-Zertifikat der VMCA, so dass die Verbindung aus Sicht der Browser nicht vertrauenswürdig ist.

    Ein frisch installierter vCenter Server führt zu einer Warnung des Browsers vor einem ungültigen Zertifikat.

    Diesen Zustand könnte man beheben, indem man die VMCA als untergeordnete Zertifizierungsstelle konfiguriert. Zu diesem Zweck stellt man über die Enterprise-CA ein entsprechendes Zertifikat für VMCA aus, welches dort das Root-Zertifikat ersetzt. Anschließend können die von VMCA ausgestellten Zertifikate bis zur Enterprise-CA zurückverfolgt werden, so dass sie keine Browser-Warnung mehr auslösen.

    Stammzertifikate von vCenter herunterladen

    In kleineren Umgebungen, in denen nur wenige Admins auf den vSphere Web Client zugreifen, reicht es meist aus, VMCA im Standardmodus zu belassen. Um im Browser den Hinweis auf ein nicht vertrauens­würdiges Zertifikat zu vermeiden, importiert man auf den betreffenden PCs das Root-Zertifikat.

    Die Startseite von vCenter enthält einen Link zum Download der Stammzertifikate.

    Dies lässt sich bewerkstelligen, indem man die Startseite von vCenter öffnet (nicht die des vSphere Web Client). Dort findet sich rechts unten ein Link mit der Beschriftung Vertrauens­würdige CA-Root-Zertifikate herunterladen. Der Download erfolgt in Form eines ZIP-Archivs, das zwei Dateien enthält. Für den Import benötigt man jene mit der Endung ".0".

    Import in den Zertifikatspeicher von Windows

    Für alle Browser, die den Zertifikatspeicher von Windows nutzen (IE, Chrome, Edge), übernimmt man das Zertifikat mit Hilfe des entsprechenden Snap-ins für die MMC. Dazu führt man nach dem Start von mmc.exe im Menü Datei den Befehl Snap-in hinzufügen/entfernen aus und wählt aus der Liste Zertifikate.

    Nach dem Hinzufügen des Zertifikat-Snapins kann man neue Root-Zertifikate installieren.

    Anschließend startet ein Wizard, der wissen möchte, für welches Konto (Computer, Benutzer, Dienste) man die Zertifikate verwalten möchte. Hier entscheidet man sich für Computerkonto, so dass der Vorgang für alle User auf diesem PC wirksam ist.

    Import-Befehl für Zertifikate in der MMC

    Anschließend öffnet man im linken Fenster den Eintrag Vertrauens­würdige Stamm­zertifizierungs­stellen und klickt mit der rechten Maustaste auf Zertifikate. Unter Alle Aufgaben findet sich der Befehl Importieren. Nach dessen Ausführung kann es etwas dauern, bis die Browser die Änderung erkennen und auf die Warnung verzichten.

    Separater Speicher für Firefox

    Firefox verfügt über einen eigenen Zertifikat­speicher, in den man die heruntergeladene Datei mit der Endung ".0" übernimmt. Dazu wechselt man in der Einstellungen zu Erweitert => Zertifikate => Zertifikate anzeigen.

    Firefox verfügt über einen eigenen Speicher für Zertifikate, die Importfunktion findet sich unter den erweiterten Einstellungen.

    Der folgende Dialog enthält eine Schaltfläche für den Import von Zertifikaten.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut

    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Ähnliche Beiträge

    Weitere Links