VMware Update Manager auf Version 5 Update 2 schlägt fehl

Beschreibung

Mit dem am 20.12.2012 erschienen VMware vSphere Version 5 Update wurde auch der Update Manager in einer neuen Version veröffentlicht. Funktionierten die anderen Modul-Updates problemlos, kam es beim Update des Update Managers zu Problemen. Das SQL Update schlug fehl. Versucht wurde das Update von VMware vSphere 5 U1 auf 5 U2.

Weiterlesen …

VMware: Hinweis zu Konfigurationsprobleme bei gestartetem SSH auf dem Host

Hintergrund

Sobald man unter vSpehre 4.1 oder 5.+ auf dem Host den SSH Service startet erhält man im vSphere Client einen Hinweis, dass der SSH für den Host aktiviert wurde.

Screenshot der Meldung

Grundsätzlich ist diese Meldung sinnvoll, sofern man die Sicherheit betrachtet. Einen offenen SSH Dienst auf einem Server stellt ein Risiko dar.

Fehlermeldung

Die Fehlermeldung lautet wie folgt

deutsch:

Konfigurationsprobleme
SSH für den Host wurde aktiviert

englisch:

Configuration Issues
SSH for the host has been enabled

Lösung

Es gibt mehrere Lösungen, je nachdem was man tatsächlich erreichen möchten.

SSH Dienst auf dem Host deaktivieren

Wenn man den SSH Dienst nicht benötigt, sollte man diesen wieder auf dem Host deaktivieren.

Anzeige der Meldung ausschalten

Wenn man über den SSH Dienst auf dem Server arbeiten möchte, besteht auch die Möglichkeit die Anzeige der Meldung auszuschalten. Hierfür kann man über die Konfiguration > Software > Erweiterte Einstellung > UserVars > UserVars.SuppressShellWarning > 1 die Meldung ausschalten.

 

 

vSphere Client: Zertifikats Sicherheitswarnung

Screenshot:

Wenn man sich über den vSphere Client mit einem ESX/ESXi oder Virtual Center in Verbindung setzt, wird oft der Hinweis eingeblendet, dass das installierte Zertifikat nicht vertrauenswürdig ist.

 

Screenshot: Sicherheitswarnung
Screenshot: Sicherheitswarnung wegen Zertifikatsfehler vSphere Client

 

Sicher kann man das Zertifikat installieren und die Sicherheitswarnung einfach ignorieren oder die bessere Variante ein vertrauenswürdiges Zertifikat einspielen.

 

Voraussetzungen:

  • OpenSSL für Windows (32- oder 64-Bit, je nach installiertem OS). Die Light-Version langt in diesem Fall.
    http://www.slproweb.com/products/Win32OpenSSL.html
  • Zertifizierungsstelle (in diesem Beispiel wird eine AD integrierte Zertifizierungsstelle genutzt)

 

Sichern des alten Zertifikats

Nachdem die Voraussetzungen auf dem Virtual Center installiert worden sind, sollten die derzeit genutzten Zertifikate zur Sicherheit an einem geeignetem Ort kopiert werden. Die Dateien befinden sich im Verzeichnis „C:\Users\All Users\VMware\VMware VirtualCenter\SSL“ (unter Windows 2008, bei älteren OS müsste das Verzeichnis unter c: \Dokumente und Einstellungen\.. ff. liegen ). Das Verzeichnis ist versteckt und benötigt erweiterte Zugriffsberechtigungen.

Neues Zertifikat erstellen

Um ein Zertifikat zu erstellen muss eine administrative Konsole geöffnet werden. Nun legt man sich ein Verzeichnis an, indem die neuen Zertifikate  erstellt werden und wechselt in dieses. In nachfolgenden Beispiel ist dies „c:\opensll\zertifikate\neu“.

Mit dem nachfolgenden Befehl wird ein Schlüssel generiert.

 

Daraufhin startet ein kleines Programm, welches einige Parameter abfrägt.

Das wichtigste ist der Common Name, dieser muss übereinstimmen.

 

Hinweis: Wenn mehrere Common Names benötigt werden, kann dies in der openssl Konfigdatei hinterlegt werden. Im Regelfall verwende ich in diesem Zusammenhang 2 Commonnames einmal mit dem Hostnamen und einmal mit dem FQDN. Die Datei openssl.cfg kann unter C:\OpenSSL\bin editiert werden. Demnach sind folgende Zeilen zu ergänzen (den Alten CommonName Eintrag überschreiben).

In der soeben erstellen Datei rui.csr befindet sich der verschlüsselte Inhalt der signiert werden muss. Zu diesem Zweck wird die Datei geöffnet und der Inhalt komplett kopiert.

Zertifikat signieren

Um das Zertifikat signieren zu lassen wechselt man nun zur Zertifizierungsstelle. Im Normalfall ist diese in der AD über einen Link im Browser http://<hostname_der_Zertifizierungsstelle>/certsrv erreichbar.

Über den Menüpunkt „Ein Zertifikat anfordern“ und „Reichen Sie eine Zertifi….“  gelangt man in eine Maske, in der der kopierte Inhalt hineinkopiert werden kann.

Screenshot: Active Directory-Zertifikatdienste

 

Screenshot: MS AD-Zertifikatsdienste - Erweiterte Zertifikatsanforderung

Als Zertifkatsvorlage ist der Webserver zu verwenden. Ist dieser nicht Sichtbar fehlen ev. die Zugriffsberechtigungen oder ist nicht freigeschalten.

Screenshot:

Das nun signierte Zertifikat im Base-64-codierten Format unter dem Namen -> rui.crt (im vorhin erstellte Verzeichnis) abspeichern.

PFX-File erstellen

Aus dem Zertifikat und privaten Schlüssel muss nun ein PFX-File mit dem nachfolgendem Befehl erstellt werden. Ich empfehle das Standardpasswort „testpassword“ zu belassen.

 

ACHTUNG: bitte Wichtiger Hinweis (siehe unten) beachten, sofern ein anderes Kennwort als das angegebene verwendet wird.

 

Zertifikat einspielen

Stoppen der Dienste „Vmware VirtualCenter Management Webservices“ und „Vmware VirtualCenter Server“. Eventuell werden auch mit dem Server Dienst noch einige andere beendet, die nach dem Import auch wieder gestartet werden müssen.

Screenshot: Dienste VMWare

Alle Dateien aus dem vorhin erstellten Verzeichnis in das „C:\Users\All Users\VMware\VMware VirtualCenter\SSL“ kopieren. Die vorhanden Dateien überschreiben (diese wurden am anfang bereits gesichert). Die Dienste in umgekehrter Reihenfolge wieder starten („Vmware VirtualCenter Server“, danach „Vmware VirtualCenter Management Webservices“) und eventuell mit dem Service Stop beendete Dienste wieder starten.

Nun sollte die Verbindung ohne einen Hinweis erfolgen.

 

Wichtiger Hinweis:

Sollte nicht das Standardkennwort (testpassword) verwendet werden, wird beim relogg auf den VirtualCenter vermutlich folgende Meldung kommen:

Die liegt am Passwort und kann durch zwei Varianten geheilt werden

  1. Das Kennwort welches zur Zertifikatserstellung verwendet worden ist muss in der Konfigdatei hinterlegt werden („C:\Users\All Users\VMware\VMware VirtualCenter\instance.cfg“). Dies geschieht durch den Eintrag „keystorePassword=<Kennwort>“.
    Siehe auch: http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1017577
  1. Die Hosts müssen neu verbunden werden (Rechte Maustaste -> verbinden). Durch die Eingabe des Benutzers und dessen Kennwort wird die Verbindung wieder hergestellt.

 

Wahrscheinlich werden die  Plug-Ins nun Probleme bereiten. Auch dies kann man mit Eintrag in die entsprechenden Konfigdatei heilen.