{"id":405,"date":"2022-10-11T15:20:00","date_gmt":"2022-10-11T13:20:00","guid":{"rendered":"https:\/\/zerobotics.de\/blog\/?p=405"},"modified":"2023-12-22T14:21:49","modified_gmt":"2023-12-22T13:21:49","slug":"austausch-des-vcenter-machine-certificate-und-den-vxrail-manager-nicht-vergessen","status":"publish","type":"post","link":"https:\/\/zerobotics.de\/blog\/austausch-des-vcenter-machine-certificate-und-den-vxrail-manager-nicht-vergessen\/","title":{"rendered":"Austausch des vCenter Machine Certificate …und den VxRail Manager nicht vergessen!"},"content":{"rendered":"Reading Time<\/span> 3<\/span> Minutes<\/span><\/span>\n

Das Thema Zertifikate scheint mich momentan zu verfolgen.
Jedenfalls will ich hier kurz zeigen, wie einfach es mittlerweile ist, das SSL Zertifikat des vCenters durch ein Enterprise CA-signiertes zu ersetzen.<\/p>\n\n\n\n

Schaut man sich den KB Artikel von VMware an (Replacing a vSphere 6.x \/7.x Machine SSL certificate with a Custom Certificate Authority Signed Certificate<\/a>), wird hier immer noch der \u201ecertificate-manager\u201c auf der Commandline zitiert.<\/p>\n\n\n\n

<\/div>\n\n\n\n

CSR erstellen im vSphere Client<\/h2>\n\n\n\n

Dabei geht es doch auch ganz leicht \u00fcber den vSphere Client. In meinem Fall h\u00e4ngen an diesem vCenter noch ein paar VxRail Cluster, hier muss man im VxRail Manager auch noch Hand anlegen (in dem Fall dann doch wieder per CLI), aber ist auch easy, siehe unten.
Auf zur Demo!<\/p>\n\n\n\n\n\n\n\n

Im vCenter einloggen und weiter zu Administration >> Certificate Management<\/strong><\/code>, danach __MACHINE_CERT >> Actions >> Generate Certificate Signing Request<\/strong><\/code>:<\/p>\n\n\n\n

\"\"
Generate Certificate Signing Request (CSR)<\/figcaption><\/figure>\n\n\n\n

Alle Infos zum Signing Request eingeben:<\/p>\n\n\n\n

\"\"
Enter Infos for the CSR<\/figcaption><\/figure>\n\n\n\n

\u2026und den CSR entweder kopieren oder herunterladen:<\/p>\n\n\n\n

\"\"
Copy or Download the CSR<\/figcaption><\/figure>\n\n\n\n

<\/p>\n\n\n\n

Also das war ja einfach!
Die irgendwas.csr<\/strong><\/code> Datei ben\u00f6tigt nun der\/die Zertifkats-Admin, oder, falls man das mit der Windows CA macht, gibt\u2019s evtl. auch ein Self Service Portal, soll hier aber nicht das Thema sein (k\u00f6nnte aber so wie in diesem Blogpost<\/a> ablaufen)<\/p>\n\n\n\n

<\/div>\n\n\n\n

Der CSR wurde eingereicht, wie gehts weiter?<\/h2>\n\n\n\n

Nachdem aus dem CSR ein Zertifikat erstellt wurde, sollte wir nun eine CER Datei und ein Zertifikats-Chain-Datei haben, beides erh\u00e4ltlich bei unserer CA.<\/p>\n\n\n\n

Also wieder im vSphere Client, diesmal Administration >> Certificate Management, danach __MACHINE_CERT >> Actions >> Import and Replace Certificate<\/code><\/strong>:<\/p>\n\n\n\n

\"\"
Import and Replace Certificate<\/figcaption><\/figure>\n\n\n\n

Dann \u201eReplace with external CA certificate where CSR is generated from vCenter Server\u201c:<\/p>\n\n\n\n

\"\"
Replace where CSR was generated on vCenter<\/figcaption><\/figure>\n\n\n\n

Hatte ich noch nicht erw\u00e4hnt: der Vorteil bei einem CSR aus dem vCenter heraus liegt darin, dass der Private Key bereits \u201eembedded\u201c ist. Bei einem CSR, der nicht auf dem vCenter erstellt wurde, fehlt dieser. Den m\u00fcsste man sich dann noch zus\u00e4tzlich besorgen und Option 3 ausw\u00e4hlen.<\/p>\n\n\n\n

Jedenfalls, bei Option 2 geht es dann so weiter:
Neue CER-Datei von der CA ausw\u00e4hlen (Machine SSL Certificate) und Chain Zertifikats-Datei von der CA ausw\u00e4hlen (Chain of trusted root certificates) und Replace dr\u00fccken.
Achtung<\/mark>: nun starten die vCenter Dienste neu! Dauert zwar nicht lange, aber sollte in Produktiv-Umgebungen vermutlich nicht ohne R\u00fccksprache erfolgen.<\/p>\n\n\n\n

\"\"
Add CER file and Chain-cert<\/figcaption><\/figure>\n\n\n\n

Sollte man ungeduldig sein (F5!!! F5!!! F5!!!) und sich bereits wieder einloggen k\u00f6nnen, kann es sein, dass die Zertifikats-\u00dcbersicht etwas seltsam aussieht und auch ein paar Fehler ausspuckt. Entspannen und ein paar Minuten Zeit geben!<\/p>\n\n\n\n

<\/p>\n\n\n\n

Und das wars dann auch schon, das vCenter hat nun ein \u201eTrusted Certificate\u201c von der eigenen CA und der Browser nervt auch nicht mehr mit Sicherheitswarnungen.<\/p>\n\n\n\n

<\/div>\n\n\n\n

Der VxRail Manager will auch wieder dran!<\/h2>\n\n\n\n

Sollte es Anwendungen geben, die sich mit dem vCenter unterhalten (kann vorkommen), wie z.B. vRealize Log Insight, vRealize Automation, vRealize Operations, Skyline Advisor, VxRail Manager,\u2026. dann wissen die noch nichts von ihrem Gl\u00fcck und sollten angepasst werden (durch Neu-Authentifizierung o.\u00e4.).<\/p>\n\n\n\n

In meinem Fall gibt es hier ein paar VxRail Manager, die nun keinen \u201eTrust\u201c mehr mit dem vCenter haben, was sich aber durch ein Python Script beheben l\u00e4sst (erh\u00e4ltlich bei Dell im Support Artikel VxRail: How to manually import vCenter SSL certificate on VxRail Manager<\/a>). Das Script wird hin und wieder aktualisiert, deswegen immer erst mal reinschauen!
Also:<\/p>\n\n\n\n