Lesezeit
3 Minuten
VMs sicher im Netzwerk betreiben (3)
Neben der Verwaltung der Benutzer und Berechtigungen in der vSphere-Umgebung – unser Workshop basiert auf vSphere 6.0 – sollten Sie sich auch die Sicherheitskonfiguration des vCenter ansehen. Hier sind häufig Anpassungen notwendig, damit das vCenter sicher betrieben werden kann. Dazu gehört die Firewall ebenso wie die zu nutzenden Zertifikate. Im dritten Teil erklären wir, wie Sie Zertifikate in vSphere verwalten und in vCenter installieren.
Zertifikate in vSphere verwalten
Ebenfalls relevant für die sichere Kommunikation sind Zertifikate. Auch in der neuen vSphere-Version ist die Verwaltung der Zertifikate keine leichte Aufgabe. Standardmäßig bringt vSphere eine eigene Zertifizierungsstelle mit und verwendet automatisch eigene Zertifikate. Das kann jedoch zu Problemen führen, wenn diese nicht als vertrauenswürdig erkannt werden. Aus diesem Grund zeigen wir Ihnen nachfolgend, wie Sie die Zertifikate in vCenter verwalten und eigene aus Ihrer Active-Directory-Umgebung einbinden.
Seit einigen Versionen stellt VMware das Befehlszeilentool "Certificate Manager" für vCenter-Server und die vCenter-Appliance zur Verfügung. Mit diesem und anderen Werkzeugen können Sie Zertifikate ausstellen und dabei auch auf Active-Directory-Zertifikatsdienste setzen. Wir zeigen Ihnen nachfolgend, wie Sie das Zertifikat in der vSphere-Appliance anpassen. Die Anpassung auf dem vCenter-Server funktioniert genauso, nur können Sie sich hier die Konfiguration über den SSH-Client ersparen.
Prinzipiell spielt es keine Rolle, wo die Zertifikate ausgestellt werden, die Sie in vSphere einbinden. Sie können daher auch problemlos interne Active-Directory-Zertifikatsdienste verwenden und AD-Zertifikate mit dem Certificate Manager in das vCenter integrieren.
Zuvor müssen diese Dienste natürlich im Active Directory installiert und konfiguriert werden. Um Zertifikate in vSphere zu nutzen, ergibt es Sinn, eigene Vorlagen für vSphere-Hosts in den Active-Directory-Zertifikatsdiensten zu konfigurieren.
Um eine eigene Vorlage zu konfigurieren, öffnen Sie auf dem Zertifikate-Server das Verwaltungstool "certtmpl.msc". Damit verwalten Sie die Vorlagen, die in den Active-Directory-Zertifikatsdiensten zur Verfügung stehen. Über das Kontextmenü der Vorlagen können Sie neue Vorlagen auf Basis der vorhandenen Vorlage erstellen, indem Sie diese duplizieren. Klicken Sie dazu mit der rechten Maustaste auf die Vorlage "Webserver" und duplizieren Sie diese. Wählen Sie bei den Kompatibilitätseinstellungen als Zertifizierungsstelle die Option "Windows Server 2008" aus. Geben Sie der neuen Vorlage auf der Registerkarte "Allgemein" einen passenden Namen, zum Beispiel "vSphere".
Wechseln Sie danach auf die Registerkarte "Erweiterungen". Markieren Sie den Punkt "Anwendungsrichtlinien" und klicken Sie auf die Schaltfläche "Bearbeiten". Im neuen Fenster markieren Sie die Option "Serverauthentifizierung" und entfernen diese Anwendungsrichtlinie über die gleichnamige Schaltfläche. Bestätigen Sie die Konfiguration und klicken Sie auf den Menüpunkt "Schlüsselverwendung". Aktivieren Sie die Option "Signatur ist Ursprungsnachweis (Nachweisbarkeit)". Bestätigen Sie die Anweisungen – die Vorlage ist jetzt erstellt.
Anschließend müssen Sie die von Ihnen erstellte Vorlage noch verfügbar machen. Dazu rufen Sie zunächst die Management-Konsole über den Befehl mmc auf und fügen das Snap-In "Zertifizierungsstelle" hinzu. Klicken Sie auf den Menüpunkt "Zertifikatsvorlagen", sehen Sie alle Vorlagen, die aktuell mit dem Zertifikatsdiensten ausgestellt werden können. Über das Kontextmenü dieses Menüpunktes können Sie neue Vorlagen hinzufügen. Hier hinterlegen Sie die von Ihnen erstellte Vorlage für vSphere. Jetzt ist die Zertifizierungsstelle vorbereitet, damit Sie Zertifikate für vSphere 6 abrufen können.
vCenter für Zertifikate konfigurieren
Verwenden Sie die vCenter-Appliance, melden Sie sich per SSH, zum Beispiel mit Putty an der Appliance an. Nach der Anmeldung starten Sie mit shell.set --enabled True und dann mit Shell das Befehlszeilenfenster. Erhalten Sie eine Fehlermeldung, müssen Sie zuerst über die Konsole oder die Weboberfläche die Shell aktivieren. Diese ist aus Sicherheitsgründen meist deaktiviert. Anschließend erstellen Sie ein neues Verzeichnis, das Sie für die Speicherung der Zertifikate und der notwendigen Dateien benötigen:
Danach geben Sie ein Verzeichnis an, in dem die Datei mit der Zertifikateanforderung gespeichert wird. Hier können Sie das Verzeichnis verwenden, das Sie im Vorfeld erstellt haben; in diesem Beispiel "/root/SSLCerts". Anschließend wird im Verzeichnis eine Datei gespeichert, die die Zertifikatsanfrage darstellt. Wechseln Sie in das Verzeichnis und lassen Sie sich den Inhalt der Datei anzeigen. Dazu müssen Sie zunächst den Certificate Manager verlassen oder ein zweites SSHFenster öffnen:
Seite 2: Zertifikat in vCenter installieren
dr/ln/Thomas Joos
Ebenfalls relevant für die sichere Kommunikation sind Zertifikate. Auch in der neuen vSphere-Version ist die Verwaltung der Zertifikate keine leichte Aufgabe. Standardmäßig bringt vSphere eine eigene Zertifizierungsstelle mit und verwendet automatisch eigene Zertifikate. Das kann jedoch zu Problemen führen, wenn diese nicht als vertrauenswürdig erkannt werden. Aus diesem Grund zeigen wir Ihnen nachfolgend, wie Sie die Zertifikate in vCenter verwalten und eigene aus Ihrer Active-Directory-Umgebung einbinden.
Seit einigen Versionen stellt VMware das Befehlszeilentool "Certificate Manager" für vCenter-Server und die vCenter-Appliance zur Verfügung. Mit diesem und anderen Werkzeugen können Sie Zertifikate ausstellen und dabei auch auf Active-Directory-Zertifikatsdienste setzen. Wir zeigen Ihnen nachfolgend, wie Sie das Zertifikat in der vSphere-Appliance anpassen. Die Anpassung auf dem vCenter-Server funktioniert genauso, nur können Sie sich hier die Konfiguration über den SSH-Client ersparen.
Prinzipiell spielt es keine Rolle, wo die Zertifikate ausgestellt werden, die Sie in vSphere einbinden. Sie können daher auch problemlos interne Active-Directory-Zertifikatsdienste verwenden und AD-Zertifikate mit dem Certificate Manager in das vCenter integrieren.
Zuvor müssen diese Dienste natürlich im Active Directory installiert und konfiguriert werden. Um Zertifikate in vSphere zu nutzen, ergibt es Sinn, eigene Vorlagen für vSphere-Hosts in den Active-Directory-Zertifikatsdiensten zu konfigurieren.
Bild 5: Sie können in den Active-Directory-Zertifikatsdiensten eine eigene Vorlage für vSphere-Zertifikate erstellen.
Um eine eigene Vorlage zu konfigurieren, öffnen Sie auf dem Zertifikate-Server das Verwaltungstool "certtmpl.msc". Damit verwalten Sie die Vorlagen, die in den Active-Directory-Zertifikatsdiensten zur Verfügung stehen. Über das Kontextmenü der Vorlagen können Sie neue Vorlagen auf Basis der vorhandenen Vorlage erstellen, indem Sie diese duplizieren. Klicken Sie dazu mit der rechten Maustaste auf die Vorlage "Webserver" und duplizieren Sie diese. Wählen Sie bei den Kompatibilitätseinstellungen als Zertifizierungsstelle die Option "Windows Server 2008" aus. Geben Sie der neuen Vorlage auf der Registerkarte "Allgemein" einen passenden Namen, zum Beispiel "vSphere".
Wechseln Sie danach auf die Registerkarte "Erweiterungen". Markieren Sie den Punkt "Anwendungsrichtlinien" und klicken Sie auf die Schaltfläche "Bearbeiten". Im neuen Fenster markieren Sie die Option "Serverauthentifizierung" und entfernen diese Anwendungsrichtlinie über die gleichnamige Schaltfläche. Bestätigen Sie die Konfiguration und klicken Sie auf den Menüpunkt "Schlüsselverwendung". Aktivieren Sie die Option "Signatur ist Ursprungsnachweis (Nachweisbarkeit)". Bestätigen Sie die Anweisungen – die Vorlage ist jetzt erstellt.
Anschließend müssen Sie die von Ihnen erstellte Vorlage noch verfügbar machen. Dazu rufen Sie zunächst die Management-Konsole über den Befehl mmc auf und fügen das Snap-In "Zertifizierungsstelle" hinzu. Klicken Sie auf den Menüpunkt "Zertifikatsvorlagen", sehen Sie alle Vorlagen, die aktuell mit dem Zertifikatsdiensten ausgestellt werden können. Über das Kontextmenü dieses Menüpunktes können Sie neue Vorlagen hinzufügen. Hier hinterlegen Sie die von Ihnen erstellte Vorlage für vSphere. Jetzt ist die Zertifizierungsstelle vorbereitet, damit Sie Zertifikate für vSphere 6 abrufen können.
vCenter für Zertifikate konfigurieren
Verwenden Sie die vCenter-Appliance, melden Sie sich per SSH, zum Beispiel mit Putty an der Appliance an. Nach der Anmeldung starten Sie mit shell.set --enabled True und dann mit Shell das Befehlszeilenfenster. Erhalten Sie eine Fehlermeldung, müssen Sie zuerst über die Konsole oder die Weboberfläche die Shell aktivieren. Diese ist aus Sicherheitsgründen meist deaktiviert. Anschließend erstellen Sie ein neues Verzeichnis, das Sie für die Speicherung der Zertifikate und der notwendigen Dateien benötigen:
mkdir /root/SSLCertsDanach starten Sie den Certificate Manager mit
/usr/lib/vmware-vmca/bin/ certificate-manager
Dieser lässt sich auch auf vCenter-Servern auf Basis von Windows starten. Dazu rufen Sie die entsprechende Batchdatei im Verzeichnis "C:\Program Files\ VMware \ vCenter Server \ vmcad" auf. Um das Zertifikat auf Basis der Active-Directory-Zertifikatsdienste abzurufen, verwenden Sie die Option "1" (Replace Machine SSL Certificate with Custom Certificate). Anschließend geben Sie den Benutzernamen und das Kennwort eines Administrator-Benutzers ein. Im Anschluss müssen Sie auswählen, welche Aktion Sie durchführen möchten. Hier nutzen Sie ebenfalls wieder die Option "1" und lassen eine Zertifikatsanforderung erstellen.
Bild 6: Nachdem Sie ein Zertifikat von den Active-Directory-Zertifikaten integriert haben, können Sie in vSphere
auch Zertifikate verwenden, die Sie selbst ausgestellt haben.
auch Zertifikate verwenden, die Sie selbst ausgestellt haben.
Danach geben Sie ein Verzeichnis an, in dem die Datei mit der Zertifikateanforderung gespeichert wird. Hier können Sie das Verzeichnis verwenden, das Sie im Vorfeld erstellt haben; in diesem Beispiel "/root/SSLCerts". Anschließend wird im Verzeichnis eine Datei gespeichert, die die Zertifikatsanfrage darstellt. Wechseln Sie in das Verzeichnis und lassen Sie sich den Inhalt der Datei anzeigen. Dazu müssen Sie zunächst den Certificate Manager verlassen oder ein zweites SSHFenster öffnen:
cd /root/SSLCerts/Seite 1: Zertifikate in vSphere verwalten
cat machine_ssl.csr
Seite 2: Zertifikat in vCenter installieren
Seite 1 von 2 | Nächste Seite >> |
dr/ln/Thomas Joos