Navigation überspringen
article cover
DerWorkshop zeigt, wie Sie die Verwaltung der unter vSphere benötigten SSL-Zertifikate in Ihr IT-Management integrieren.

Veröffentlicht am 22. Mai 2023

IT-Administrator

Praxiswissen für Admins.

718 Artikel · 15224 Follower

vSphere-Zertifikate verwalten (3)

vSphere hat eine stark modulare Struktur und die mit vSphere 7 auf eine Appliance konsolidierte vCenter-Architektur besteht aus mehreren Dutzend Komponenten, die miteinander über Standardschnittstellen kommunizieren. Deshalb nutzt vSphere intensiv SSL, um diese Kommunikationskanäle abzusichern. Lesen Sie, wie Sie die Verwaltung der benötigten SSL-Zertifikate in Ihr IT-Management integrieren. Im dritten und letzten Teil der Workshopserie gehen wir darauf ein, wie Sie den hybriden Modus für Zertifikate nutzen und vCenter als vertrauenswürdige Root-CA verwenden.

Empfinden Sie den Sicherheitsverlust durch eine neue, von Ihnen nur bedingt kontrollierte Issuing-CA als zu hoch, nutzen Sie den Punkt 1 im Zertifikatsmanager, um lediglich das Maschinenzertifikat der vCenter-Appliance durch ein vertrauenswürdiges Zertifikat aus Ihrer vorhandenen PKI oder sogar aus einer kommerziellen PKI zu ersetzen. Dabei entsteht der sogenannte "hybride Modus" der Zertifikatsverwaltung in vSphere.

Der Zertifikatsmanager generiert einen CSR mit dem gleichen Assistenten wie oben beschrieben. Diesen CSR müssen Sie anschließend bei der Zertifizierungsstelle Ihrer Wahl einreichen und das Ergebnis per SCP zurück auf die Appliance kopieren.

Bei dieser Vorgehensweise wird lediglich das Zertifikat im vCenter-Web-Client ersetzt. Die Zertifikate der ESXi-Hosts bleiben unverändert und werden als nicht vertrauenswürdig angezeigt, falls Sie sich einmal direkt auf die Weboberfläche eines Hosts verbinden müssen. Das Gleiche gilt für alle anderen Anwendungen und vSphere-Bestandteile.

vCenter als vertrauenswürdige Root-CA benutzen

Falls Sie in Ihrer Infrastruktur über keine PKI verfügen und die vorinstallierte vCenter-CA für vertrauenswürdig erklärt haben, um Zertifikatswarnungen im Browser loszuwerden, können Sie diese in Zukunft verwenden, um gelegentlich Zertifikate für Systeme auszustellen, die nicht zu vSphere gehören. Dabei müssen Sie sich aber folgender Einschränkungen bewusst sein, die mit dieser Vorgehensweise in der Praxis einhergehen:

Sie können mithilfe der offiziellen Tools Ihrer vCenter-Appliance ausschließlich Serverzertifikate ausstellen. Diese Zertifikate verfügen über keinerlei Validierungsinformationen. Selbst wenn Sie diese mit den Mitteln der vCenter-CA zurückziehen, bekommen Systeme außerhalb von vSphere nichts davon mit. Um Zertifikate aus der vCenter-CA auszustellen, benötigen Sie den Root-Zugriff auf die vCenter-Appliance, was aus Security-Sicht maximal eingeschränkt sein sollte.

Falls die obigen Einschränkungen kein Hindernis darstellen, können Sie in drei Schritten ein Zertifikat erzeugen. Dafür nutzen Sie das Dienstprogramm "certool", das auch der Zertifikatsmanager intern aufruft. Bereiten Sie eine Konfigurationsdatei ("servercert.cfg") mit mindestens dem folgenden Inhalt vor:

  • Country = DEName= server.firma.de

  • Organization = Firma

  • OrgUnit = IT-Abteilung

  • State = Bayern

  • Locality = Muenchen

  • IPAddress = 10.0.123.123

  • Email = itA@firma.de

  • Hostname = server.firma.de

Die Parameter kennen Sie bereits vom oben beschriebenen Assistenten. Übertragen Sie diese Datei per SCP auf die vCenter-Appliance und erzeugen Sie mit certool ein Schlüsselpaar:

  • /usr/lib/vmware-vmca/bin/certool --server localhost --genkey --privkey=/tmp/priv.key -pubkey=/tmp/pub.key

Mit diesem privaten Schlüssel können Sie nun das Zertifikat anlegen:

  • /usr/lib/vmware-vmca/bin/certool --gencert --cert=/tmp/server.cer --privkey=/tmp/priv.key --config=/temp/servercert.cfg

Kopieren Sie die beiden Dateien "priv.key" und "server.cer" auf Ihre Maschine. Bei Linux-Systemen können Sie sie direkt verwenden (falls nötig, ändern Sie die Erweiterung bei beiden Dateien zu "PEM"). Für den Einsatz unter Windows müssen Sie sie mit openssl in das PFX-Format konvertieren:

  • openssl pkcs12 -inkey priv.key -in server.cer -export -out server.pfx

Denken Sie daran, anschließend den SSH-Zugriff auf die vCenter-Appliance wieder zu sperren.

Fazit

Die Verwaltung von vSphere-Zertifikaten ist in ihrer Gesamtheit sehr komplex und sollte automatisiert bleiben, um das reibungslose Zusammenspiel der einzelnen Komponenten zu gewährleisten. Um Browserwarnungen loszuwerden, können Sie die Maschinenzertifikate durch vertrauenswürdige Zertifikate ersetzen oder die ganze vCenter-PKI Ihrer vorhandenen Unternehmens-PKI unterordnen. Stimmen Sie das hierfür zu verwendende Verfahren mit Ihrer IT-Sicherheit ab.

Autor: Evgenij Smirnov

IT-Administrator

Praxiswissen für Admins.

718 Artikel · 15224 Follower

IT-Administrator schreibt über Praxiswissen für Admins.

IT-Administrator ist das Praxismagazin für System- und Netzwerkadministratoren und liefert jeden Monat passgenaues, sofort umsetzbares Fachwissen. Auf zahlreichen Intensivseminaren und Trainings vor Ort sowie online können sich Admins zudem umfassend fortbilden. Auf Xing informiert die Redaktion über aktuelle Trends und Themen aus der IT.

Artikelsammlung ansehen