Das Zertifikat-Management bereitet vielen vSphere-Administratoren Bauchschmerzen. Gründe dafür waren bis dato die große Zahl an benötigten Zertifikaten sowie die spartanische Tools-Ausstattung. Die Version 7 bringt hier deutlichen Verbesserungen und bietet eine Verwaltung über die GUI.
Wie mein Beitrag zu vSphere 6.x zeigte, mussten dort bis zu sieben verschiedene Zertifikate verwaltet werden, was einen erheblichen Aufwand beim Erneuern bedeutete, vor allem wenn sie außerhalb der VMware-eigenen VMCA bereitgestellt wurden. Ferner lagen die dazu benötigten Werkzeuge bisher nur als Kommandozeilen-Tools vor.
Zertifikatsverwaltung im vSphere Client
In der neuen Version verringert VMware die Komplexität des Themas, verkleinert die Anzahl der erforderlichen Zertifikate und integriert die Zertifikatsverwaltung vollständig in den HTML5-Client.
Das neue Zertifikats-Management findet sich in der Navigation unter Verwaltung im Abschnitt Zertifikate unter Zertifikatverwaltung. Die Seite bietet die folgenden Optionen:
- Anzeigen und Verwalten von Details zum SSL-Zertifikat des vCenter Server-Computers (Machine SSL-Zertifikat)
- Anzeigen von Details zu vertrauenswürdigen Stammzertifikaten und Hinzufügen neuer vertrauenswürdiger Stammzertifikate
Lösungsbenutzer-Zertifikate werden ab vSphere 7 in der GUI ausgeblendet, denn sie gelten nun als veraltet („deprecated“). Sie wurden laut VMware durch einen weniger komplexen, aber genauso sicheren Mechanismus ersetzt, um andere Produkte wie vRealize Operations oder vRealize Log Insight anzubinden.
Übrigens: Das Lösungsbenutzerzertifikat machine ist nicht mit dem SSL-Zertifikat machine identisch. Ersteres wird ausschließlich für den Austausch von SAML-Tokens benötigt, während das Zweite für SSL-Verbindungen mit einer Maschine verwendet wird.
Mit einem Klick auf Details anzeigen lassen sich die Eigenschaften des Zertifikats ausgeben, einschließlich des Zeitraums, für den das Zertifikat gültig ist.
Im Menü Aktionen des SSL-Zertifikats für den vCenter-Server stehen die Optionen Erneuern, Zertifikat importieren und ersetzen sowie Zertifikatssignierungsanforderung, also das Generieren einen CSR, zur Auswahl.
Zertifikat erneuern
Mit Erneuern kann man ein von der VMware CA, die in vCenter Server integriert ist, ausgestelltes Zertifikat verlängern. Hier muss man dann nur im Dialog Zertifikat mithilfe von VMCA verlängern auf den Button Erneuern klicken.
Diese Aktion führt dazu, dass die Dienste von vCenter durch den Neustart offline geschaltet werden, so dass davon abhängige Prozesse während dieser Zeit nicht verfügbar sind. Daher wird für den Austausch von Zertifikaten ein geplantes Wartungsfenster vorgeschlagen.
vCenter-Zertifikat ersetzen
Wir wählen für die folgende Abbildung zunächst die erste Variante, füllen die Zertifikatsdetails nach den eigenen Vorgaben aus und klicken auf Replace.
Die VMware CA generiert dann eine CSR, um das aktuelle Zertifikat zu ersetzen. Auch dieser Vorgang zieht wieder einen Neustart des vCenter-Servers nach sich, der etwa 10 bis 15 Minuten in Anspruch nehmen kann.
Um ein selbstsigniertes Computer-Zertifikat für vCenter Server zu importieren oder zu ersetzen, dessen CSR von VMware CA erstellt wurde, wählt man dann bei Typ des zu ersetzenden Zertifikats auswählen den Eintrag Durch ein vom vCenter Server generiertes Zertifikat ersetzen.
Hier muss der Admin dann mit Hilfe der beiden Schaltflächen Datei durchsuchen die jeweiligen Dateien zum Maschinen-SSL-Zertifikat und zur vertrauenswürdigen Root-CA angeben.