Fachartikel

VMs sicher im Netzwerk betreiben (3)

Neben der Verwaltung der Benutzer und Berechtigungen in der vSphere-Umgebung – unser Workshop basiert auf vSphere 6.0 – sollten Sie sich auch die Sicherheitskonfiguration des vCenter ansehen. Hier sind häufig Anpassungen notwendig, damit das vCenter sicher betrieben werden kann. Dazu gehört die Firewall ebenso wie die zu nutzenden Zertifikate. Im dritten Teil erklären wir, wie Sie Zertifikate in vSphere verwalten und in vCenter installieren.
Für ein gehärtetes vCenter kommen Sie nicht um eine Anpassung der Sicherheitskonfiguration umhin.
Zertifikate in vSphere verwalten
Ebenfalls relevant für die sichere Kommunikation sind Zertifikate. Auch in der neuen vSphere-Version ist die Verwaltung der Zertifikate keine leichte Aufgabe. Standardmäßig bringt vSphere eine eigene Zertifizierungsstelle mit und verwendet automatisch eigene Zertifikate. Das kann jedoch zu Problemen führen, wenn diese nicht als vertrauenswürdig erkannt werden. Aus diesem Grund zeigen wir Ihnen nachfolgend, wie Sie die Zertifikate in vCenter verwalten und eigene aus Ihrer Active-Directory-Umgebung einbinden.

Seit einigen Versionen stellt VMware das Befehlszeilentool "Certificate Manager" für vCenter-Server und die vCenter-Appliance zur Verfügung. Mit diesem und anderen Werkzeugen können Sie Zertifikate ausstellen und dabei auch auf Active-Directory-Zertifikatsdienste setzen. Wir zeigen Ihnen nachfolgend, wie Sie das Zertifikat in der vSphere-Appliance anpassen. Die Anpassung auf dem vCenter-Server funktioniert genauso, nur können Sie sich hier die Konfiguration über den SSH-Client ersparen.

Prinzipiell spielt es keine Rolle, wo die Zertifikate ausgestellt werden, die Sie in vSphere einbinden. Sie können daher auch problemlos interne Active-Directory-Zertifikatsdienste verwenden und AD-Zertifikate mit dem Certificate Manager in das vCenter integrieren.

Zuvor müssen diese Dienste natürlich im Active Directory installiert und konfiguriert werden. Um Zertifikate in vSphere zu nutzen, ergibt es Sinn, eigene Vorlagen für vSphere-Hosts in den Active-Directory-Zertifikatsdiensten zu konfigurieren.


Bild 5: Sie können in den Active-Directory-Zertifikatsdiensten eine eigene Vorlage für vSphere-Zertifikate erstellen.

Um eine eigene Vorlage zu konfigurieren, öffnen Sie auf dem Zertifikate-Server das Verwaltungstool "certtmpl.msc". Damit verwalten Sie die Vorlagen, die in den Active-Directory-Zertifikatsdiensten zur Verfügung stehen. Über das Kontextmenü der Vorlagen können Sie neue Vorlagen auf Basis der vorhandenen Vorlage erstellen, indem Sie diese duplizieren. Klicken Sie dazu mit der rechten Maustaste auf die Vorlage "Webserver" und duplizieren Sie diese. Wählen Sie bei den Kompatibilitätseinstellungen als Zertifizierungsstelle die Option "Windows Server 2008" aus. Geben Sie der neuen Vorlage auf der Registerkarte "Allgemein" einen passenden Namen, zum Beispiel "vSphere".

Wechseln Sie danach auf die Registerkarte "Erweiterungen". Markieren Sie den Punkt "Anwendungsrichtlinien" und klicken Sie auf die Schaltfläche "Bearbeiten". Im neuen Fenster markieren Sie die Option "Serverauthentifizierung" und entfernen diese Anwendungsrichtlinie über die gleichnamige Schaltfläche. Bestätigen Sie die Konfiguration und klicken Sie auf den Menüpunkt "Schlüsselverwendung". Aktivieren Sie die Option "Signatur ist Ursprungsnachweis (Nachweisbarkeit)". Bestätigen Sie die Anweisungen – die Vorlage ist jetzt erstellt.

Anschließend müssen Sie die von Ihnen erstellte Vorlage noch verfügbar machen. Dazu rufen Sie zunächst die Management-Konsole über den Befehl mmc auf und fügen das Snap-In "Zertifizierungsstelle" hinzu. Klicken Sie auf den Menüpunkt "Zertifikatsvorlagen", sehen Sie alle Vorlagen, die aktuell mit dem Zertifikatsdiensten ausgestellt werden können. Über das Kontextmenü dieses Menüpunktes können Sie neue Vorlagen hinzufügen. Hier hinterlegen Sie die von Ihnen erstellte Vorlage für vSphere. Jetzt ist die Zertifizierungsstelle vorbereitet, damit Sie Zertifikate für vSphere 6 abrufen können.
vCenter für Zertifikate konfigurieren
Verwenden Sie die vCenter-Appliance, melden Sie sich per SSH, zum Beispiel mit Putty an der Appliance an. Nach der Anmeldung starten Sie mit shell.set --enabled True und dann mit Shell das Befehlszeilenfenster. Erhalten Sie eine Fehlermeldung, müssen Sie zuerst über die Konsole oder die Weboberfläche die Shell aktivieren. Diese ist aus Sicherheitsgründen meist deaktiviert. Anschließend erstellen Sie ein neues Verzeichnis, das Sie für die Speicherung der Zertifikate und der notwendigen Dateien benötigen:
mkdir /root/SSLCerts
Danach starten Sie den Certificate Manager mit
/usr/lib/vmware-vmca/bin/ certificate-manager
Dieser lässt sich auch auf vCenter-Servern auf Basis von Windows starten. Dazu rufen Sie die entsprechende Batchdatei im Verzeichnis "C:\Program Files\ VMware \ vCenter Server \ vmcad" auf. Um das Zertifikat auf Basis der Active-Directory-Zertifikatsdienste abzurufen, verwenden Sie die Option "1" (Replace Machine SSL Certificate with Custom Certificate). Anschließend geben Sie den Benutzernamen und das Kennwort eines Administrator-Benutzers ein. Im Anschluss müssen Sie auswählen, welche Aktion Sie durchführen möchten. Hier nutzen Sie ebenfalls wieder die Option "1" und lassen eine Zertifikatsanforderung erstellen.

Bild 6: Nachdem Sie ein Zertifikat von den Active-Directory-Zertifikaten integriert haben, können Sie in vSphere
auch Zertifikate verwenden, die Sie selbst ausgestellt haben.


Danach geben Sie ein Verzeichnis an, in dem die Datei mit der Zertifikateanforderung gespeichert wird. Hier können Sie das Verzeichnis verwenden, das Sie im Vorfeld erstellt haben; in diesem Beispiel "/root/SSLCerts". Anschließend wird im Verzeichnis eine Datei gespeichert, die die Zertifikatsanfrage darstellt. Wechseln Sie in das Verzeichnis und lassen Sie sich den Inhalt der Datei anzeigen. Dazu müssen Sie zunächst den Certificate Manager verlassen oder ein zweites SSHFenster öffnen:
cd /root/SSLCerts/
cat machine_ssl.csr
Seite 1: Zertifikate in vSphere verwalten
Seite 2: Zertifikat in vCenter installieren


Seite 1 von 2 Nächste Seite >>
16.07.2018/dr/ln/Thomas Joos

Nachrichten

Kubernetes feiert sechsjährigen Geburtstag [15.06.2020]

Vor sechs Jahren, am 6. Juni 2014, wurde auf GitHub das erste öffentliche Commitment zu Kubernetes abgegeben. Red Hat ist schonb seit Beginn des Projekts an Kubernetes beteiligt. Einige der wichtigsten Software-Ingenieure, Mitarbeiter und Führungskräfte von Red Hat haben nun ihre Erinnerungen an das Projekt zusammengetragen, von persönlichen Erinnerungen bis hin zu bedeutenden Herausforderungen, die in den ersten Tagen bewältigt wurden. [mehr]

Mehr Komplexität durch Cloudnutzung [22.05.2020]

Immer mehr Unternehmen nutzen die IT-Services einer Public Cloud zusätzlich zu ihrer lokalen IT-Infrastruktur. Eine weltweite Umfrage der Enterprise Strategy Group unter mehr als 1250 IT-Entscheidern bei großen und mittleren Unternehmen hat jetzt ergeben, dass die gleichzeitige Nutzung von heterogenen Public- und Private-Cloud-Services für die meisten Unternehmen die Verwaltung ihrer IT komplizierter und aufwändiger macht. Hauptursache ist das Fehlen konsistenter Cloud-Management-Systeme. [mehr]

Tipps & Tools

Dynamische Linux-Community [9.08.2020]

In der Linux-Welt finden Sie dank der großen Community sehr schnell Hilfe. Hierbei kann Sie auch die Webseite "linuxquestions.org" unterstützen. Neben dem Austausch mit anderen Linux-Enthusiasten bietet das Portal zahlreiche Foren sowie viele hilfreiche Artikel und Tutorials. [mehr]

Deutsche Post startet digitale Briefankündigung [7.08.2020]

Morgens schon wissen, was später im Briefkasten liegt: Mit der Briefankündigung informiert die Deutsche Post Kunden auf Wunsch per E-Mail über eingehende Briefpost und sendet hierfür ein Foto des Briefumschlags mit. Der kostenlose Service lässt sich für alle GMX- und WEB.DE-E-Mail-Konten aktivieren und soll ab 2021 um den Inhalt der Briefe erweitert werden. [mehr]

Buchbesprechung

Microsoft Office 365

von Markus Widl

Anzeigen