SSL-Zertifikat unter vSphere 6 austauschen

Allgemein

Letzte Aktualisierung am 22.09.2019, 16:09:40 Uhr

Nach der Installation von vShpere vCenter Server nutzen die verschiedenen Dienste Self-Signed-Zertifikate für die Kommunikation. VMWare bietet neben ihrer eigenen Zertifizierungsstelle (Vmcad) selbstverständlichauch die Nutzung von eigenen Zertifikaten an – gekauft von GlobalSign oder von der Zertifizierungsstelle im eigenen Unternehmensnetzwerk.

Im folgenden Artikel nutze ich die Zertifizierungstelle (PKI) im meinen Testlab. Wichtig ist, dass der private Schlüssel des Zertifikats exportierbar ist. Die Standardvorlage Computer auf der PKI lässt dies nicht zu.

+++++++++++++++++++++++++++++++++++++++++++++++++
Benutzerdefinierte Zertifiaktsvorlage erstellen
+++++++++++++++++++++++++++++++++++++++++++++++++
vcenter-server-ssl-cert-pki-template-step01

vcenter-server-ssl-cert-pki-template-step02

vcenter-server-ssl-cert-pki-template-step03

vcenter-server-ssl-cert-pki-template-step04

vcenter-server-ssl-cert-pki-template-step05

vcenter-server-ssl-cert-pki-template-step06

+++++++++++++++++++++++++++++++++++++++++++++++++
Zertifikat auf dem vCenter Server anfordern
+++++++++++++++++++++++++++++++++++++++++++++++++
vcenter-server-ssl-cert-request-cert-step01

vcenter-server-ssl-cert-request-cert-step02

vcenter-server-ssl-cert-request-cert-step03

vcenter-server-ssl-cert-request-cert-step04

vcenter-server-ssl-cert-request-cert-step05

vcenter-server-ssl-cert-request-cert-step06

vcenter-server-ssl-cert-request-cert-step07

vcenter-server-ssl-cert-request-cert-step08

vcenter-server-ssl-cert-request-cert-step09

vcenter-server-ssl-cert-request-cert-step10

vcenter-server-ssl-cert-request-cert-step11

vcenter-server-ssl-cert-request-cert-step12

+++++++++++++++++++++++++++++++++++++++++++++++++
OpenSSL für Windows installieren
+++++++++++++++++++++++++++++++++++++++++++++++++
vcenter-server-ssl-cert-download-openssl-step01

vcenter-server-ssl-cert-download-openssl-step02

vcenter-server-ssl-cert-download-openssl-step03

vcenter-server-ssl-cert-download-openssl-step04

vcenter-server-ssl-cert-download-openssl-step05

vcenter-server-ssl-cert-download-openssl-step06

vcenter-server-ssl-cert-download-openssl-step07

vcenter-server-ssl-cert-download-openssl-step08

vcenter-server-ssl-cert-download-openssl-step09

+++++++++++++++++++++++++++++++++++++++++++++++++
Zertifikat auf dem vCenter Server einspielen
+++++++++++++++++++++++++++++++++++++++++++++++++

vcenter-server-ssl-cert-vmware-services-step01

vcenter-server-ssl-cert-vmware-services-step02

vcenter-server-ssl-cert-vmware-services-step03

vcenter-server-ssl-cert-vmware-services-step04

vcenter-server-ssl-cert-vmware-services-step05

vcenter-server-ssl-cert-vmware-services-step06

vcenter-server-ssl-cert-vmware-services-step07

vcenter-server-ssl-cert-vmware-services-step08

vcenter-server-ssl-cert-vmware-services-step09

openssl pkcs12 -in fileserver01.pfx -nocerts -out fileserver01-key.pem -nodes
openssl rsa -in fileserver01-key.pem -out fileserver01.key

vcenter-server-ssl-cert-vmware-services-step10

openssl pkcs12 -nokeys -clcerts -in fileserver01.pfx -out fileserver01-cert.pem
openssl x509 -in fileserver01-cert.pem -out fileserver01-cert.cer

vcenter-server-ssl-cert-vmware-services-step11

openssl pkcs12 -nokeys -cacerts -in fileserver01.pfx -out fileserver01-cabundle.pem
powershell -command "get-content "fileserver01-cabundle.pem" | select-string -pattern 'Bag Attributes|subject|issuer' -notmatch | Out-File fileserver01-cabundle.cer" -Encoding UTF8

vcenter-server-ssl-cert-vmware-services-step12

cd "C:\Program Files\VMware\vCenter Server\vmafdd"
dir-cli.exe trustedcert publish --chain --cert C:\Temp\ssl-zertifikat\fileserver01-cabundle.cer

vcenter-server-ssl-cert-vmware-services-step13

cd "C:\Program Files\VMware\vCenter Server\vmcad"
Certificate-Manager.bat

vcenter-server-ssl-cert-vmware-services-step14

vcenter-server-ssl-cert-vmware-services-step15

Nicht ungeduldig werden… der letzte Schritt kann je nach Performance des Servers 5-15 Minuten dauern. Auf einer VM welche genügend Leistung hat, dauerte es 5:15 Minuten.

Das Zertifikat für den VMWare Update Manager muss zusätzlich ausgetauscht werden. Das habe ich bereits hier genauer beschrieben.

Abonnieren
Benachrichtige mich bei
2 Comments
neueste
älteste
Inline Feedbacks
View all comments
Jake
02.08.2017 07:01

Hallo,
nun wir haben eine rootca und eine Subca Microsoft 2016. Im Powershell schritt wird aber nur das Root ca Exportiert und nicht die gesamte Chain sprich subca bleibt auf der strecke ! Soll das so sein ?

Antworten
Daniel
Autor
Reply to  Jake
02.08.2017 23:00

Moin!
Ich kann dir leider nicht folgen… welchen Powershell-Schritt meinst du?

Antworten