vCenter 7 Zertifikatsverwaltung Zertifikate für vCenter 7 im vSphere Client ausstellen, erneuern oder ersetzen

Das Zertifikat-Management bereitet vielen vSphere-Admini­stratoren Bauch­schmerzen. Grün­de dafür waren bis dato die große Zahl an benö­tigten Zertifi­katen sowie die spar­tanische Tools-Aus­stattung. Die Version 7 bringt hier deut­lichen Verbes­serungen und bietet eine Ver­waltung über die GUI.

Wie mein Beitrag zu vSphere 6.x zeigte, mussten dort bis zu sieben verschiedene Zertifikate verwaltet werden, was einen erheblichen Aufwand beim Erneuern bedeutete, vor allem wenn sie außerhalb der VMware-eigenen VMCA bereit­gestellt wurden. Ferner lagen die dazu benötigten Werkzeuge bisher nur als Kommandozeilen-Tools vor.

Zertifikatsverwaltung im vSphere Client

In der neuen Version verringert VMware die Komplexität des Themas, verkleinert die Anzahl der erforderlichen Zertifikate und integriert die Zertifikats­verwaltung vollständig in den HTML5-Client.

Das neue Zertifikats-Management findet sich in der Navigation unter Verwaltung im Abschnitt Zertifikate unter Zertifikat­verwaltung. Die Seite bietet die folgenden Optionen:

  • Anzeigen und Verwalten von Details zum SSL-Zertifikat des vCenter Server-Computers (Machine SSL-Zertifikat)
  • Anzeigen von Details zu vertrauens­würdigen Stammzertifikaten und Hinzufügen neuer vertrauenswürdiger Stammzertifikate
Die neue Zerttifikatsverwaltung in vCenter 7.

Lösungsbenutzer-Zertifikate werden ab vSphere 7 in der GUI ausgeblendet, denn sie gelten nun als veraltet („deprecated“). Sie wurden laut VMware durch einen weniger komplexen, aber genauso sicheren Mechanismus ersetzt, um andere Produkte wie vRealize Operations oder vRealize Log Insight anzubinden.

Übrigens: Das Lösungs­benutzer­zertifikat machine ist nicht mit dem SSL-Zertifikat machine identisch. Ersteres wird ausschließlich für den Austausch von SAML-Tokens benötigt, während das Zweite für SSL-Verbindungen mit einer Maschine verwendet wird.

Mit einem Klick auf Details anzeigen lassen sich die Eigenschaften des Zertifikats ausgeben, ein­schließlich des Zeitraums, für den das Zertifikat gültig ist.

Details des Maschinen-Zertifikates.

Im Menü Aktionen des SSL-Zertifikats für den vCenter-Server stehen die Optionen ErneuernZertifikat importieren und ersetzen sowie Zertifikatssignierungs­anforderung, also das Generieren einen CSR, zur Auswahl.

Mit den Befehlen im Kontextmenü lässt sich das Zertifikat erneuern oder ersetzen.

 

Zertifikat erneuern

Mit Erneuern kann man ein von der VMware CA, die in vCenter Server integriert ist, ausgestelltes Zertifikat verlängern. Hier muss man dann nur im Dialog Zertifikat mithilfe von VMCA verlängern auf den Button Erneuern klicken.

Zertifikat mit Hilfe der in vCenter integrierten VMCA verlängern.

Diese Aktion führt dazu, dass die Dienste von vCenter durch den Neustart offline geschaltet werden, so dass davon abhängige Prozesse während dieser Zeit nicht verfügbar sind. Daher wird für den Austausch von Zertifikaten ein geplantes Wartungs­fenster vorgeschlagen.

vCenter-Zertifikat ersetzen

Mit der zweiten Option kann man das Maschinen­zertifikat von vCenter entweder durch das VMCA-Zertifikat oder durch ein selbst­signiertes Zertifikat ersetzen. Alternativ bietet sich an, ein von einer CA eines Drittanbieters signiertes Zertifikat zu installieren.
Auswahl des Zertifikattyps, der ersetzt werden soll.

Wir wählen für die folgende Abbildung zunächst die erste Variante, füllen die Zertifikatsdetails nach den eigenen Vorgaben aus und klicken auf Replace.

Die VMware CA generiert dann eine CSR, um das aktuelle Zertifikat zu ersetzen. Auch dieser Vorgang zieht wieder einen Neustart des vCenter-Servers nach sich, der etwa 10 bis 15 Minuten in Anspruch nehmen kann.

Um ein selbstsigniertes Computer-Zertifikat für vCenter Server zu importieren oder zu ersetzen, dessen CSR von VMware CA erstellt wurde, wählt man dann bei Typ des zu ersetzenden Zertifikats auswählen den Eintrag Durch ein vom vCenter Server generiertes Zertifikat ersetzen.

Hier muss der Admin dann mit Hilfe der beiden Schaltflächen Datei durchsuchen die jeweiligen Dateien zum Maschinen-SSL-Zertifikat und zur vertrauens­würdigen Root-CA angeben.

Hier weiterlesen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.