Aktualisieren von Dell VxRail mit nutzerdefinierten Zertifikaten (von KundInnen korrigierbar)

vSphere verwendet Zertifikate für Folgendes:

• Verschlüsseln der Kommunikation zwischen zwei Nodes, z. B. vCenter Server und einem ESXi-Host.
• Authentifizieren von vSphere-Services.
• Durchführen interner Aktionen, z. B. Signieren von Token.

Die interne Zertifizierungsstelle von vSphere, VMware Certificate Authority (VMCA), stellt alle Zertifikate bereit, die für vCenter Server und ESXi erforderlich sind. VMCA wird auf jedem Platform Services Controller installiert und sichert die Lösung sofort und ohne weitere Änderungen. Die Beibehaltung dieser Standardkonfiguration bietet den geringsten betrieblichen Overhead für das Zertifikatmanagement. vSphere bietet einen Mechanismus zur Erneuerung dieser Zertifikate für den Fall, dass sie ablaufen.

vSphere bietet auch einen Mechanismus, um bestimmte Zertifikate durch Ihre eigenen Zertifikate zu ersetzen. Es wird jedoch empfohlen, nur das SSL-Zertifikat zu ersetzen, das die Verschlüsselung zwischen Nodes bereitstellt, um den Overhead für das Zertifikatmanagement gering zu halten.

Integration nutzerdefinierter Zertifikate

Die vSphere-Umgebung ist flexibel, um KundInnen die Möglichkeit zu geben, mit nutzerdefinierten SSL-Zertifikaten zu arbeiten, da ihre Unternehmensrichtlinien dies manchmal vorschreiben. Die folgenden Schritte führen Sie durch das Ändern von Zertifikaten für verschiedene Komponenten in einer VxRail-Umgebung.

1. Ersetzen des selbstsignierten Zertifikats von VxRail Manager
   • Dieses Verfahren ist über das SolVe-Onlineportal zugänglich. Gehen Sie zu Anleitung zu Verfahren > Gewusst wie: Ändern anderer VxRail-Clustereinstellungen > Wählen Sie Ihre aktuelle VxRail Manager-Version aus. Ersetzen Sie das VxRail Manager-SSL-Zertifikat und erzeugen Sie dann das Verfahren. Wenn Sie keinen Zugriff auf dieses Portal haben, wenden Sie sich an den Dell Support. Anleitungen zum Erstellen der Zertifikatsignieranforderung und zum Ändern der empfangenen Zertifikatdateien finden Sie im KB-Artikel VxRail: So beantragen Sie ein neues Zertifikat für VxRail Manager.
2. Ersetzen von vCenter Server-Zertifikaten durch ein von einer nutzerdefinierten Zertifizierungsstelle (CA) signiertes Zertifikat
   • Befolgen Sie die Anleitung unter VMware: Erstellen von Zertifikatsignierungsanforderungen mit vSphere Certificate Manager (nutzerdefinierte Zertifikate)
   • Eine bessere Übersicht über den Prozess des Zertifikataustauschs mithilfe von Certificate Manager finden Sie unter VMware Wissensdatenbank-Artikel Ersetzen eines vSphere 6.x/7.x-Maschinen-SSL-Zertifikats durch ein von einer nutzerdefinierten Zertifizierungsstelle signiertes Zertifikat (2112277).
   • Um zu veranschaulichen, wie Sie ein nutzerdefiniertes signiertes Zertifikat mithilfe von PSC erzeugen, lesen Sie den KB-Artikel Dell VxRail: Anleitung zum Erzeugen von CSR (cert signing request) und privaten Schlüsseln auf PSC.
3. Manuelles Wiederherstellen der Vertrauensstellung zwischen VxRail Manager und vCenter Server nach der Integration eines nutzerdefinierten Zertifikats
   • Nach dem Austausch von vCenter Server-Zertifikaten sollten die neuen Zertifikate manuell auf der VxRail Manager-VM aktualisiert werden, damit die Vertrauensstellung zwischen beiden Entitäten wiederhergestellt werden kann. Befolgen Sie dazu den Wissensdatenbank-Artikel VxRail: Manuelles Importieren des vCenter SSL-Zertifikats auf VxRail Manager.
4. Ersetzen von SSL-Zertifikaten für ESXi-Hosts
   • Die Anforderungen für ESXi-Zertifikatsignieranforderungen finden Sie bei VMware unter https://docs.vmware.com/en/VMware-vSphere/6.7/com.vmware.vsphere.security.doc/GUID-0AE0B563-59D6-45A5-BF46-6FE68607687B.html.
   • Um zur Verwendung von nutzerdefinierten Zertifikaten auf den ESXi-Hosts in einer vSAN-Umgebung zu wechseln, befolgen Sie VMware Wissensdatenbank-Artikel – Hinzufügen eines nutzerdefinierten Zertifikats auf ESXi-Hosts über die CLI (56441). Es ist immer vorzuziehen, ein Backup der alten ESXi-Zertifikate außerhalb des Hosts zu erstellen (z. B. mithilfe von Clients wie WinSCP), um sie wiederherstellen zu können, falls während des Austauschprozesses Probleme auftreten.
5. Ersetzen von vRealize Log Insight-Zertifikaten
   • Befolgen Sie die Anleitung unter https://docs.vmware.com/en/vRealize-Log-Insight/4.5/com.vmware.log-insight.administration.doc/GUID-93E0A9FA-9C72-47AE-9E54-9982F4604FE1.html.

Wenn beim Austausch von Zertifikaten Probleme auftreten, wenden Sie sich an den Dell Support, um Unterstützung zu erhalten.

• Dell EMC VxRail: Anforderungen für das VxRail Manager SSL-Zertifikat in einem MTLS-fähigen Cluster
• Dell EMC VxRail: Anmeldung bei vCenter nicht möglich, Fehler 500 SSO PSC&VC-Zertifikate sind abgelaufen und konnten nicht verlängert werden