VMs sicher im Netzwerk betreiben (3)

Lesezeit
3 Minuten
Bis jetzt gelesen

VMs sicher im Netzwerk betreiben (3)

16.07.2018 - 00:00
Veröffentlicht in:
Neben der Verwaltung der Benutzer und Berechtigungen in der vSphere-Umgebung – unser Workshop basiert auf vSphere 6.0 – sollten Sie sich auch die Sicherheitskonfiguration des vCenter ansehen. Hier sind häufig Anpassungen notwendig, damit das vCenter sicher betrieben werden kann. Dazu gehört die Firewall ebenso wie die zu nutzenden Zertifikate. Im dritten Teil erklären wir, wie Sie Zertifikate in vSphere verwalten und in vCenter installieren.
Zertifikate in vSphere verwalten
Ebenfalls relevant für die sichere Kommunikation sind Zertifikate. Auch in der neuen vSphere-Version ist die Verwaltung der Zertifikate keine leichte Aufgabe. Standardmäßig bringt vSphere eine eigene Zertifizierungsstelle mit und verwendet automatisch eigene Zertifikate. Das kann jedoch zu Problemen führen, wenn diese nicht als vertrauenswürdig erkannt werden. Aus diesem Grund zeigen wir Ihnen nachfolgend, wie Sie die Zertifikate in vCenter verwalten und eigene aus Ihrer Active-Directory-Umgebung einbinden.

Seit einigen Versionen stellt VMware das Befehlszeilentool "Certificate Manager" für vCenter-Server und die vCenter-Appliance zur Verfügung. Mit diesem und anderen Werkzeugen können Sie Zertifikate ausstellen und dabei auch auf Active-Directory-Zertifikatsdienste setzen. Wir zeigen Ihnen nachfolgend, wie Sie das Zertifikat in der vSphere-Appliance anpassen. Die Anpassung auf dem vCenter-Server funktioniert genauso, nur können Sie sich hier die Konfiguration über den SSH-Client ersparen.

Prinzipiell spielt es keine Rolle, wo die Zertifikate ausgestellt werden, die Sie in vSphere einbinden. Sie können daher auch problemlos interne Active-Directory-Zertifikatsdienste verwenden und AD-Zertifikate mit dem Certificate Manager in das vCenter integrieren.

Zuvor müssen diese Dienste natürlich im Active Directory installiert und konfiguriert werden. Um Zertifikate in vSphere zu nutzen, ergibt es Sinn, eigene Vorlagen für vSphere-Hosts in den Active-Directory-Zertifikatsdiensten zu konfigurieren.


Bild 5: Sie können in den Active-Directory-Zertifikatsdiensten eine eigene Vorlage für vSphere-Zertifikate erstellen.

Um eine eigene Vorlage zu konfigurieren, öffnen Sie auf dem Zertifikate-Server das Verwaltungstool "certtmpl.msc". Damit verwalten Sie die Vorlagen, die in den Active-Directory-Zertifikatsdiensten zur Verfügung stehen. Über das Kontextmenü der Vorlagen können Sie neue Vorlagen auf Basis der vorhandenen Vorlage erstellen, indem Sie diese duplizieren. Klicken Sie dazu mit der rechten Maustaste auf die Vorlage "Webserver" und duplizieren Sie diese. Wählen Sie bei den Kompatibilitätseinstellungen als Zertifizierungsstelle die Option "Windows Server 2008" aus. Geben Sie der neuen Vorlage auf der Registerkarte "Allgemein" einen passenden Namen, zum Beispiel "vSphere".

Wechseln Sie danach auf die Registerkarte "Erweiterungen". Markieren Sie den Punkt "Anwendungsrichtlinien" und klicken Sie auf die Schaltfläche "Bearbeiten". Im neuen Fenster markieren Sie die Option "Serverauthentifizierung" und entfernen diese Anwendungsrichtlinie über die gleichnamige Schaltfläche. Bestätigen Sie die Konfiguration und klicken Sie auf den Menüpunkt "Schlüsselverwendung". Aktivieren Sie die Option "Signatur ist Ursprungsnachweis (Nachweisbarkeit)". Bestätigen Sie die Anweisungen – die Vorlage ist jetzt erstellt.

Anschließend müssen Sie die von Ihnen erstellte Vorlage noch verfügbar machen. Dazu rufen Sie zunächst die Management-Konsole über den Befehl mmc auf und fügen das Snap-In "Zertifizierungsstelle" hinzu. Klicken Sie auf den Menüpunkt "Zertifikatsvorlagen", sehen Sie alle Vorlagen, die aktuell mit dem Zertifikatsdiensten ausgestellt werden können. Über das Kontextmenü dieses Menüpunktes können Sie neue Vorlagen hinzufügen. Hier hinterlegen Sie die von Ihnen erstellte Vorlage für vSphere. Jetzt ist die Zertifizierungsstelle vorbereitet, damit Sie Zertifikate für vSphere 6 abrufen können.

vCenter für Zertifikate konfigurieren
Verwenden Sie die vCenter-Appliance, melden Sie sich per SSH, zum Beispiel mit Putty an der Appliance an. Nach der Anmeldung starten Sie mit shell.set --enabled True und dann mit Shell das Befehlszeilenfenster. Erhalten Sie eine Fehlermeldung, müssen Sie zuerst über die Konsole oder die Weboberfläche die Shell aktivieren. Diese ist aus Sicherheitsgründen meist deaktiviert. Anschließend erstellen Sie ein neues Verzeichnis, das Sie für die Speicherung der Zertifikate und der notwendigen Dateien benötigen:
mkdir /root/SSLCerts
Danach starten Sie den Certificate Manager mit
/usr/lib/vmware-vmca/bin/ certificate-manager
Dieser lässt sich auch auf vCenter-Servern auf Basis von Windows starten. Dazu rufen Sie die entsprechende Batchdatei im Verzeichnis "C:\Program Files\ VMware \ vCenter Server \ vmcad" auf. Um das Zertifikat auf Basis der Active-Directory-Zertifikatsdienste abzurufen, verwenden Sie die Option "1" (Replace Machine SSL Certificate with Custom Certificate). Anschließend geben Sie den Benutzernamen und das Kennwort eines Administrator-Benutzers ein. Im Anschluss müssen Sie auswählen, welche Aktion Sie durchführen möchten. Hier nutzen Sie ebenfalls wieder die Option "1" und lassen eine Zertifikatsanforderung erstellen.

Bild 6: Nachdem Sie ein Zertifikat von den Active-Directory-Zertifikaten integriert haben, können Sie in vSphere
auch Zertifikate verwenden, die Sie selbst ausgestellt haben.


Danach geben Sie ein Verzeichnis an, in dem die Datei mit der Zertifikateanforderung gespeichert wird. Hier können Sie das Verzeichnis verwenden, das Sie im Vorfeld erstellt haben; in diesem Beispiel "/root/SSLCerts". Anschließend wird im Verzeichnis eine Datei gespeichert, die die Zertifikatsanfrage darstellt. Wechseln Sie in das Verzeichnis und lassen Sie sich den Inhalt der Datei anzeigen. Dazu müssen Sie zunächst den Certificate Manager verlassen oder ein zweites SSHFenster öffnen:
cd /root/SSLCerts/
cat machine_ssl.csr
Seite 1: Zertifikate in vSphere verwalten
Seite 2: Zertifikat in vCenter installieren


Seite 1 von 2 Nächste Seite >>


dr/ln/Thomas Joos

Ähnliche Beiträge

IT-Tage 2023 – Konferenz für Entwicklung, Datenbanken, DevOps, Security und KI

„Alles unter einem Dach!“ ist das Motto der IT-Tage, der Jahreskonferenz des Fachmagazins Informatik Aktuell. Unter anderem werden Subkonferenzen zu den Themen Software-Entwicklung und -Architektur, Datenbanken, DevOps, Cloud & Serverless, IT-Security, Künstliche Intelligenz, Java, Python oder .NET angeboten.

Security mit Shielded-VMs und Host Guardian Service (3)

Der Host Guardian Service sorgt in der Datacenter Edition für die Sicherheit von VMs. Virtuelle Server lassen sich so härten und vor anderen Administratoren, Angreifern und unberechtigten Zugriffen abschotten. Zusammen mit Shielded-VM verweigert dieser Sicherheitsmechanismus Angreifern und Malware den Zugriff auf die Daten der VM. Auch Netzwerke, die von Angreifern übernommen wurden oder bei denen andere Bereiche kompromittiert sind, stellen keine Gefahr für derart gesicherte VMs dar. Im dritten und letzten Workshop-Teil geht es um das Zusammenspiel von Windows Azure Pack mit Shielded VMs und wie Sie HTTPS für HGS aktivieren.