Aktualisieren von Dell VxRail mit nutzerdefinierten Zertifikaten (von KundInnen korrigierbar)
Summary: Schritt-für-Schritt-Anleitung zum Ersetzen durch Kundenzertifikate für Dell VxRail-Umgebungen. vSphere bietet Sicherheit durch die Verwendung von Zertifikaten, um die Kommunikation zu verschlüsseln, Services zu authentifizieren und Token zu signieren. ...
Instructions
vSphere verwendet Zertifikate für Folgendes:
- Verschlüsseln der Kommunikation zwischen zwei Nodes, z. B. vCenter Server und einem ESXi-Host.
- Authentifizieren von vSphere-Services.
- Durchführen interner Aktionen, z. B. Signieren von Token.
Die interne Zertifizierungsstelle von vSphere, VMware Certificate Authority (VMCA), stellt alle Zertifikate bereit, die für vCenter Server und ESXi erforderlich sind. VMCA wird auf jedem Platform Services Controller installiert und sichert die Lösung sofort und ohne weitere Änderungen. Die Beibehaltung dieser Standardkonfiguration bietet den geringsten betrieblichen Overhead für das Zertifikatmanagement. vSphere bietet einen Mechanismus zur Erneuerung dieser Zertifikate für den Fall, dass sie ablaufen.
vSphere bietet auch einen Mechanismus, um bestimmte Zertifikate durch Ihre eigenen Zertifikate zu ersetzen. Es wird jedoch empfohlen, nur das SSL-Zertifikat zu ersetzen, das die Verschlüsselung zwischen Nodes bereitstellt, um den Overhead für das Zertifikatmanagement gering zu halten.
Integration nutzerdefinierter Zertifikate
Die vSphere-Umgebung ist flexibel, um KundInnen die Möglichkeit zu geben, mit nutzerdefinierten SSL-Zertifikaten zu arbeiten, da ihre Unternehmensrichtlinien dies manchmal vorschreiben. Die folgenden Schritte führen Sie durch das Ändern von Zertifikaten für verschiedene Komponenten in einer VxRail-Umgebung.
- Ersetzen des selbstsignierten Zertifikats von VxRail Manager
- Dieses Verfahren ist über das SolVe-Onlineportal zugänglich. Gehen Sie zu Anleitung zu Verfahren > Gewusst wie: Ändern anderer VxRail-Clustereinstellungen > Wählen Sie Ihre aktuelle VxRail Manager-Version aus. Ersetzen Sie das VxRail Manager-SSL-Zertifikat und erzeugen Sie dann das Verfahren. Wenn Sie keinen Zugriff auf dieses Portal haben, wenden Sie sich an den Dell Support. Anleitungen zum Erstellen der Zertifikatsignieranforderung und zum Ändern der empfangenen Zertifikatdateien finden Sie im KB-Artikel VxRail: So beantragen Sie ein neues Zertifikat für VxRail Manager.
- Ersetzen von vCenter Server-Zertifikaten durch ein von einer nutzerdefinierten Zertifizierungsstelle (CA) signiertes Zertifikat
- Befolgen Sie die Anleitung unter VMware: Erstellen von Zertifikatsignierungsanforderungen mit vSphere Certificate Manager (nutzerdefinierte Zertifikate)
- Eine bessere Übersicht über den Prozess des Zertifikataustauschs mithilfe von Certificate Manager finden Sie unter VMware Wissensdatenbank-Artikel Ersetzen eines vSphere 6.x/7.x-Maschinen-SSL-Zertifikats durch ein von einer nutzerdefinierten Zertifizierungsstelle signiertes Zertifikat (2112277
).
- Um zu veranschaulichen, wie Sie ein nutzerdefiniertes signiertes Zertifikat mithilfe von PSC erzeugen, lesen Sie den KB-Artikel Dell VxRail: Anleitung zum Erzeugen von CSR (cert signing request) und privaten Schlüsseln auf PSC.
- Befolgen Sie die Anleitung unter VMware: Erstellen von Zertifikatsignierungsanforderungen mit vSphere Certificate Manager (nutzerdefinierte Zertifikate)
- Manuelles Wiederherstellen der Vertrauensstellung zwischen VxRail Manager und vCenter Server nach der Integration eines nutzerdefinierten Zertifikats
- Nach dem Austausch von vCenter Server-Zertifikaten sollten die neuen Zertifikate manuell auf der VxRail Manager-VM aktualisiert werden, damit die Vertrauensstellung zwischen beiden Entitäten wiederhergestellt werden kann. Befolgen Sie dazu den Wissensdatenbank-Artikel VxRail: Manuelles Importieren des vCenter SSL-Zertifikats auf VxRail Manager.
- Ersetzen von SSL-Zertifikaten für ESXi-Hosts
- Die Anforderungen für ESXi-Zertifikatsignieranforderungen finden Sie bei VMware unter https://docs.vmware.com/en/VMware-vSphere/6.7/com.vmware.vsphere.security.doc/GUID-0AE0B563-59D6-45A5-BF46-6FE68607687B.html
- Um zur Verwendung von nutzerdefinierten Zertifikaten auf den ESXi-Hosts in einer vSAN-Umgebung zu wechseln, befolgen Sie VMware Wissensdatenbank-Artikel – Hinzufügen eines nutzerdefinierten Zertifikats auf ESXi-Hosts über die CLI (56441)
- Die Anforderungen für ESXi-Zertifikatsignieranforderungen finden Sie bei VMware unter https://docs.vmware.com/en/VMware-vSphere/6.7/com.vmware.vsphere.security.doc/GUID-0AE0B563-59D6-45A5-BF46-6FE68607687B.html
- Ersetzen von vRealize Log Insight-Zertifikaten
Hinweis: Das Erzeugen von Zertifikatsignierungsanforderungen (CSRs) mithilfe von Drittanbietertools oder das Signieren von Zertifikatsignierungsanfragen mithilfe der internen CA des Unternehmens wird vom Dell Support nicht unterstützt.
Wenn beim Austausch von Zertifikaten Probleme auftreten, wenden Sie sich an den Dell Support, um Unterstützung zu erhalten.
Additional Information
Zugehörige Ressourcen
Hier sind einige empfohlene Ressourcen zu diesem Thema, die für Sie von Interesse sein könnten:
Hier sind einige empfohlene Ressourcen zu diesem Thema, die für Sie von Interesse sein könnten: