Screenshot:

vSphere Client: Zertifikats Sicherheitswarnung

Wenn man sich über den vSphere Client mit einem ESX/ESXi oder Virtual Center in Verbindung setzt, wird oft der Hinweis eingeblendet, dass das installierte Zertifikat nicht vertrauenswürdig ist.

 

Screenshot: Sicherheitswarnung
Screenshot: Sicherheitswarnung wegen Zertifikatsfehler vSphere Client

 

Sicher kann man das Zertifikat installieren und die Sicherheitswarnung einfach ignorieren oder die bessere Variante ein vertrauenswürdiges Zertifikat einspielen.

 

Voraussetzungen:

  • OpenSSL für Windows (32- oder 64-Bit, je nach installiertem OS). Die Light-Version langt in diesem Fall.
    http://www.slproweb.com/products/Win32OpenSSL.html
  • Zertifizierungsstelle (in diesem Beispiel wird eine AD integrierte Zertifizierungsstelle genutzt)

 

Sichern des alten Zertifikats

Nachdem die Voraussetzungen auf dem Virtual Center installiert worden sind, sollten die derzeit genutzten Zertifikate zur Sicherheit an einem geeignetem Ort kopiert werden. Die Dateien befinden sich im Verzeichnis „C:\Users\All Users\VMware\VMware VirtualCenter\SSL“ (unter Windows 2008, bei älteren OS müsste das Verzeichnis unter c: \Dokumente und Einstellungen\.. ff. liegen ). Das Verzeichnis ist versteckt und benötigt erweiterte Zugriffsberechtigungen.

Neues Zertifikat erstellen

Um ein Zertifikat zu erstellen muss eine administrative Konsole geöffnet werden. Nun legt man sich ein Verzeichnis an, indem die neuen Zertifikate  erstellt werden und wechselt in dieses. In nachfolgenden Beispiel ist dies „c:\opensll\zertifikate\neu“.

Mit dem nachfolgenden Befehl wird ein Schlüssel generiert.

 

Daraufhin startet ein kleines Programm, welches einige Parameter abfrägt.

Das wichtigste ist der Common Name, dieser muss übereinstimmen.

 

Hinweis: Wenn mehrere Common Names benötigt werden, kann dies in der openssl Konfigdatei hinterlegt werden. Im Regelfall verwende ich in diesem Zusammenhang 2 Commonnames einmal mit dem Hostnamen und einmal mit dem FQDN. Die Datei openssl.cfg kann unter C:\OpenSSL\bin editiert werden. Demnach sind folgende Zeilen zu ergänzen (den Alten CommonName Eintrag überschreiben).

In der soeben erstellen Datei rui.csr befindet sich der verschlüsselte Inhalt der signiert werden muss. Zu diesem Zweck wird die Datei geöffnet und der Inhalt komplett kopiert.

Zertifikat signieren

Um das Zertifikat signieren zu lassen wechselt man nun zur Zertifizierungsstelle. Im Normalfall ist diese in der AD über einen Link im Browser http://<hostname_der_Zertifizierungsstelle>/certsrv erreichbar.

Über den Menüpunkt „Ein Zertifikat anfordern“ und „Reichen Sie eine Zertifi….“  gelangt man in eine Maske, in der der kopierte Inhalt hineinkopiert werden kann.

Screenshot: Active Directory-Zertifikatdienste

 

Screenshot: MS AD-Zertifikatsdienste - Erweiterte Zertifikatsanforderung

Als Zertifkatsvorlage ist der Webserver zu verwenden. Ist dieser nicht Sichtbar fehlen ev. die Zugriffsberechtigungen oder ist nicht freigeschalten.

Screenshot:

Das nun signierte Zertifikat im Base-64-codierten Format unter dem Namen -> rui.crt (im vorhin erstellte Verzeichnis) abspeichern.

PFX-File erstellen

Aus dem Zertifikat und privaten Schlüssel muss nun ein PFX-File mit dem nachfolgendem Befehl erstellt werden. Ich empfehle das Standardpasswort „testpassword“ zu belassen.

 

ACHTUNG: bitte Wichtiger Hinweis (siehe unten) beachten, sofern ein anderes Kennwort als das angegebene verwendet wird.

 

Zertifikat einspielen

Stoppen der Dienste „Vmware VirtualCenter Management Webservices“ und „Vmware VirtualCenter Server“. Eventuell werden auch mit dem Server Dienst noch einige andere beendet, die nach dem Import auch wieder gestartet werden müssen.

Screenshot: Dienste VMWare

Alle Dateien aus dem vorhin erstellten Verzeichnis in das „C:\Users\All Users\VMware\VMware VirtualCenter\SSL“ kopieren. Die vorhanden Dateien überschreiben (diese wurden am anfang bereits gesichert). Die Dienste in umgekehrter Reihenfolge wieder starten („Vmware VirtualCenter Server“, danach „Vmware VirtualCenter Management Webservices“) und eventuell mit dem Service Stop beendete Dienste wieder starten.

Nun sollte die Verbindung ohne einen Hinweis erfolgen.

 

Wichtiger Hinweis:

Sollte nicht das Standardkennwort (testpassword) verwendet werden, wird beim relogg auf den VirtualCenter vermutlich folgende Meldung kommen:

Die liegt am Passwort und kann durch zwei Varianten geheilt werden

  1. Das Kennwort welches zur Zertifikatserstellung verwendet worden ist muss in der Konfigdatei hinterlegt werden („C:\Users\All Users\VMware\VMware VirtualCenter\instance.cfg“). Dies geschieht durch den Eintrag „keystorePassword=<Kennwort>“.
    Siehe auch: http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1017577
  1. Die Hosts müssen neu verbunden werden (Rechte Maustaste -> verbinden). Durch die Eingabe des Benutzers und dessen Kennwort wird die Verbindung wieder hergestellt.

 

Wahrscheinlich werden die  Plug-Ins nun Probleme bereiten. Auch dies kann man mit Eintrag in die entsprechenden Konfigdatei heilen.

 

 

Kommentar verfassen