VxRail: Aktualisieren von Dell VxRail mit nutzerdefinierten Zertifikaten

vSphere verwendet Zertifikate für Folgendes:

• Verschlüsseln der Kommunikation zwischen zwei Nodes, z. B. vCenter Server und einem ESXi-Host.
• Authentifizieren von vSphere-Services.
• Durchführen interner Aktionen, z. B. Signieren von Token.

Die interne Zertifizierungsstelle von vSphere, VMware Certificate Authority (VMCA), stellt alle Zertifikate bereit, die für vCenter Server und ESXi erforderlich sind. VMCA wird auf jedem Platform Services Controller installiert und sichert die Lösung sofort und ohne weitere Änderungen. Die Beibehaltung dieser Standardkonfiguration bietet den geringsten betrieblichen Overhead für das Zertifikatmanagement. vSphere bietet einen Mechanismus zur Erneuerung dieser Zertifikate für den Fall, dass sie ablaufen.

vSphere bietet auch einen Mechanismus, um bestimmte Zertifikate durch Ihre eigenen Zertifikate zu ersetzen. Es wird jedoch empfohlen, nur das SSL-Zertifikat zu ersetzen, das die Verschlüsselung zwischen Nodes bereitstellt, um den Overhead für das Zertifikatmanagement gering zu halten.

Integration nutzerdefinierter Zertifikate

Die vSphere-Umgebung ist flexibel, um KundInnen die Möglichkeit zu geben, mit nutzerdefinierten SSL-Zertifikaten zu arbeiten, da ihre Unternehmensrichtlinien dies manchmal vorschreiben. Die folgenden Schritte führen Sie durch das Ändern von Zertifikaten für verschiedene Komponenten in einer VxRail-Umgebung.

1. Ersetzen des selbstsignierten Zertifikats von VxRail Manager
   • Das Zertifikat kann mithilfe des VxRail Manager-Plug-ins ersetzt werden: Wählen Sie in vSphere die Option Configure > Security > Certificate auf Clusterebene >aus. Anleitungen zum Erstellen der Zertifikatsignieranforderung und zum Ändern der empfangenen Zertifikatdateien finden Sie im KB-Artikel VxRail: So beantragen Sie ein neues Zertifikat für VxRail Manager.
2. Ersetzen von vCenter Server-Zertifikaten durch ein von einer nutzerdefinierten Zertifizierungsstelle (CA) signiertes Zertifikat
   • Befolgen Sie die Anleitung unter VMware: Erstellen von Zertifikatsignierungsanforderungen mit vSphere Certificate Manager (nutzerdefinierte Zertifikate)(externer Link).
   • Eine bessere Übersicht über den Prozess zum Ersetzen von Zertifikaten mithilfe von Certificate Manager finden Sie unter VMware Wissensdatenbank-Artikel Ersetzen eines vSphere 6.x/7.x-Maschinen-SSL-Zertifikats durch ein von einer nutzerdefinierten Zertifizierungsstelle signiertes Zertifikat (2112277)(Externer Link).
3. Manuelles Wiederherstellen der Vertrauensstellung zwischen VxRail Manager und vCenter Server nach der Integration eines nutzerdefinierten Zertifikats
   • Nach dem Austausch von vCenter Server-Zertifikaten sollten die neuen Zertifikate manuell auf der VxRail Manager-VM aktualisiert werden, damit die Vertrauensstellung zwischen beiden Entitäten wiederhergestellt werden kann. Befolgen Sie dazu den Wissensdatenbank-Artikel VxRail: Manuelles Importieren des vCenter SSL-Zertifikats auf VxRail Manager.
4. Ersetzen von SSL-Zertifikaten für ESXi-Hosts
   • Die Anforderungen für ESXi-Zertifikatsignieranforderungen finden Sie unter VMware unter vSphere-Zertifikatanforderungen für verschiedene Lösungspfade(externer Link).
   • Um zur Verwendung von nutzerdefinierten Zertifikaten auf den ESXi-Hosts in einer vSAN-Umgebung zu wechseln, befolgen Sie VMware Wissensdatenbank-Artikel – Hinzufügen eines nutzerdefinierten Zertifikats auf ESXi-Hosts über die CLI (56441) (Externer Link). Es ist immer vorzuziehen, ein Backup der alten ESXi-Zertifikate außerhalb des Hosts zu erstellen (z. B. mithilfe von Clients wie WinSCP), um sie wiederherstellen zu können, falls während des Austauschprozesses Probleme auftreten.
5. Ersetzen von vRealize Log Insight-Zertifikaten
   • Befolgen Sie die Anleitung unter https://docs.vmware.com/en/vRealize-Log-Insight/4.5/com.vmware.log-insight.administration.doc/GUID-93E0A9FA-9C72-47AE-9E54-9982F4604FE1.html(Externer Link).

Wenn beim Austausch von Zertifikaten Probleme auftreten, wenden Sie sich an den Dell Support, um Unterstützung zu erhalten.