Tags: Zertifikate, vCenter
Verbindet man sich mit einem frisch installierten vCenter Server, dann warnt der Web-Browser vor einem nicht vertrauenswürdigen Zertifikat. Die solideste Lösung besteht darin, im Unternehmens-PKI ein neues
Zertifikat für vCenter auszustellen. Am einfachsten ist es jedoch, das
Root-Zertifikat der VMware Certificate Authority in den Browser zu übernehmen.
Der mit vSphere 6.0 eingeführte Platform Services Controller (PSC) enthält eine eigene Zertifizierungsstelle mit der Bezeichnung VMware Certificate Authority (VMCA). Sie stellt Zertifikate für Maschinen aus, auf denen VMware-Dienste laufen, sowie für ESXi-Hosts und Lösungsbenutzer (sie entsprechen den Service Accounts unter Windows).
VMCA mit selbst signiertem Zertifikat
VMCA ist somit keine generelle Zertifizierungsstelle, vielmehr beschränkt sich ihr Einsatz auf die Komponenten der VMware-Plattform. Im normalen Betriebsmodus verwendet VMCA ein selbst signiertes Zertifikat. Entsprechend endet die Vertrauenskette beim Root-Zertifikat der VMCA, so dass die Verbindung aus Sicht der Browser nicht vertrauenswürdig ist.
Diesen Zustand könnte man beheben, indem man die VMCA als untergeordnete Zertifizierungsstelle konfiguriert. Zu diesem Zweck stellt man über die Enterprise-CA ein entsprechendes Zertifikat für VMCA aus, welches dort das Root-Zertifikat ersetzt. Anschließend können die von VMCA ausgestellten Zertifikate bis zur Enterprise-CA zurückverfolgt werden, so dass sie keine Browser-Warnung mehr auslösen.
Stammzertifikate von vCenter herunterladen
In kleineren Umgebungen, in denen nur wenige Admins auf den vSphere Web Client zugreifen, reicht es meist aus, VMCA im Standardmodus zu belassen. Um im Browser den Hinweis auf ein nicht vertrauenswürdiges Zertifikat zu vermeiden, importiert man auf den betreffenden PCs das Root-Zertifikat.
Dies lässt sich bewerkstelligen, indem man die Startseite von vCenter öffnet (nicht die des vSphere Web Client). Dort findet sich rechts unten ein Link mit der Beschriftung Vertrauenswürdige CA-Root-Zertifikate herunterladen. Der Download erfolgt in Form eines ZIP-Archivs, das zwei Dateien enthält. Für den Import benötigt man jene mit der Endung ".0".
Import in den Zertifikatspeicher von Windows
Für alle Browser, die den Zertifikatspeicher von Windows nutzen (IE, Chrome, Edge), übernimmt man das Zertifikat mit Hilfe des entsprechenden Snap-ins für die MMC. Dazu führt man nach dem Start von mmc.exe im Menü Datei den Befehl Snap-in hinzufügen/entfernen aus und wählt aus der Liste Zertifikate.
Anschließend startet ein Wizard, der wissen möchte, für welches Konto (Computer, Benutzer, Dienste) man die Zertifikate verwalten möchte. Hier entscheidet man sich für Computerkonto, so dass der Vorgang für alle User auf diesem PC wirksam ist.
Anschließend öffnet man im linken Fenster den Eintrag Vertrauenswürdige Stammzertifizierungsstellen und klickt mit der rechten Maustaste auf Zertifikate. Unter Alle Aufgaben findet sich der Befehl Importieren. Nach dessen Ausführung kann es etwas dauern, bis die Browser die Änderung erkennen und auf die Warnung verzichten.
Separater Speicher für Firefox
Firefox verfügt über einen eigenen Zertifikatspeicher, in den man die heruntergeladene Datei mit der Endung ".0" übernimmt. Dazu wechselt man in der Einstellungen zu Erweitert => Zertifikate => Zertifikate anzeigen.
Der folgende Dialog enthält eine Schaltfläche für den Import von Zertifikaten.
Täglich Know-how für IT-Pros mit unserem Newsletter
Ähnliche Beiträge
- Zertifikate für vCenter 7 im vSphere Client ausstellen, erneuern oder ersetzen
- Zertifikate für vCenter, ESXi und SSL erstellen, verteilen und verwalten
- Platform Services Controller und vCenter SSO: Konzept und Konfiguration
- Zertifikate in vCenter Server Appliance installieren mit kostenlosem GUI-Tool
- VMware vCenter 6.0: vollwertiges vCSA, SSO in Platform Services Controller