SSL-Zertifikat unter vSphere 6 austauschen

Nach der Installation von vShpere vCenter Server nutzen die verschiedenen Dienste Self-Signed-Zertifikate für die Kommunikation. VMWare bietet neben ihrer eigenen Zertifizierungsstelle (Vmcad) selbstverständlichauch die Nutzung von eigenen Zertifikaten an – gekauft von GlobalSign oder von der Zertifizierungsstelle im eigenen Unternehmensnetzwerk.

Im folgenden Artikel nutze ich die Zertifizierungstelle (PKI) im meinen Testlab. Wichtig ist, dass der private Schlüssel des Zertifikats exportierbar ist. Die Standardvorlage Computer auf der PKI lässt dies nicht zu.

+++++++++++++++++++++++++++++++++++++++++++++++++
Benutzerdefinierte Zertifiaktsvorlage erstellen
+++++++++++++++++++++++++++++++++++++++++++++++++

vcenter-server-ssl-cert-pki-template-step01

vcenter-server-ssl-cert-pki-template-step02

vcenter-server-ssl-cert-pki-template-step03

vcenter-server-ssl-cert-pki-template-step04

vcenter-server-ssl-cert-pki-template-step05

vcenter-server-ssl-cert-pki-template-step06

+++++++++++++++++++++++++++++++++++++++++++++++++
Zertifikat auf dem vCenter Server anfordern
+++++++++++++++++++++++++++++++++++++++++++++++++

vcenter-server-ssl-cert-request-cert-step01

vcenter-server-ssl-cert-request-cert-step02

vcenter-server-ssl-cert-request-cert-step03

vcenter-server-ssl-cert-request-cert-step04

vcenter-server-ssl-cert-request-cert-step05

vcenter-server-ssl-cert-request-cert-step06

vcenter-server-ssl-cert-request-cert-step07

vcenter-server-ssl-cert-request-cert-step08

vcenter-server-ssl-cert-request-cert-step09

vcenter-server-ssl-cert-request-cert-step10

vcenter-server-ssl-cert-request-cert-step11

vcenter-server-ssl-cert-request-cert-step12

+++++++++++++++++++++++++++++++++++++++++++++++++
OpenSSL für Windows installieren
+++++++++++++++++++++++++++++++++++++++++++++++++

vcenter-server-ssl-cert-download-openssl-step01

vcenter-server-ssl-cert-download-openssl-step02

vcenter-server-ssl-cert-download-openssl-step03

vcenter-server-ssl-cert-download-openssl-step04

vcenter-server-ssl-cert-download-openssl-step05

vcenter-server-ssl-cert-download-openssl-step06

vcenter-server-ssl-cert-download-openssl-step07

vcenter-server-ssl-cert-download-openssl-step08

vcenter-server-ssl-cert-download-openssl-step09

+++++++++++++++++++++++++++++++++++++++++++++++++
Zertifikat auf dem vCenter Server einspielen
+++++++++++++++++++++++++++++++++++++++++++++++++

vcenter-server-ssl-cert-vmware-services-step01

vcenter-server-ssl-cert-vmware-services-step02

vcenter-server-ssl-cert-vmware-services-step03

vcenter-server-ssl-cert-vmware-services-step04

vcenter-server-ssl-cert-vmware-services-step05

vcenter-server-ssl-cert-vmware-services-step06

vcenter-server-ssl-cert-vmware-services-step07

vcenter-server-ssl-cert-vmware-services-step08

vcenter-server-ssl-cert-vmware-services-step09

openssl pkcs12 -in fileserver01.pfx -nocerts -out fileserver01-key.pem -nodes
openssl rsa -in fileserver01-key.pem -out fileserver01.key

vcenter-server-ssl-cert-vmware-services-step10

openssl pkcs12 -nokeys -clcerts -in fileserver01.pfx -out fileserver01-cert.pem
openssl x509 -in fileserver01-cert.pem -out fileserver01-cert.cer

vcenter-server-ssl-cert-vmware-services-step11

openssl pkcs12 -nokeys -cacerts -in fileserver01.pfx -out fileserver01-cabundle.pem
powershell -command "get-content "fileserver01-cabundle.pem" | select-string -pattern 'Bag Attributes|subject|issuer' -notmatch | Out-File fileserver01-cabundle.cer" -Encoding UTF8

vcenter-server-ssl-cert-vmware-services-step12

cd "C:\Program Files\VMware\vCenter Server\vmafdd"
dir-cli.exe trustedcert publish --chain --cert C:\Temp\ssl-zertifikat\fileserver01-cabundle.cer

vcenter-server-ssl-cert-vmware-services-step13

cd "C:\Program Files\VMware\vCenter Server\vmcad"
Certificate-Manager.bat

vcenter-server-ssl-cert-vmware-services-step14

vcenter-server-ssl-cert-vmware-services-step15

Nicht ungeduldig werden… der letzte Schritt kann je nach Performance des Servers 5-15 Minuten dauern. Auf einer VM welche genügend Leistung hat, dauerte es 5:15 Minuten.

Das Zertifikat für den VMWare Update Manager muss zusätzlich ausgetauscht werden. Das habe ich bereits hier genauer beschrieben.