Hybriden Modus für Zertifikate nutzen
Empfinden Sie den Sicherheitsverlust durch eine neue, von Ihnen nur bedingt kontrollierte Issuing-CA als zu hoch, nutzen Sie den Punkt 1 im Zertifikatsmanager, um lediglich das Maschinenzertifikat der vCenter-Appliance durch ein vertrauenswürdiges Zertifikat aus Ihrer vorhandenen PKI oder sogar aus einer kommerziellen PKI zu ersetzen. Dabei entsteht der sogenannte "hybride Modus" der Zertifikatsverwaltung in vSphere.

Der Zertifikatsmanager generiert einen CSR mit dem gleichen Assistenten wie oben beschrieben. Diesen CSR müssen Sie anschließend bei der Zertifizierungsstelle Ihrer Wahl einreichen und das Ergebnis per SCP zurück auf die Appliance kopieren.

Bei dieser Vorgehensweise wird lediglich das Zertifikat im vCenter-Web-Client ersetzt. Die Zertifikate der ESXi-Hosts bleiben unverändert und werden als nicht vertrauenswürdig angezeigt, falls Sie sich einmal direkt auf die Weboberfläche eines Hosts verbinden müssen. Das Gleiche gilt für alle anderen Anwendungen und vSphere-Bestandteile.

vCenter als vertrauenswürdige Root-CA benutzen
Falls Sie in Ihrer Infrastruktur über keine PKI verfügen und die vorinstallierte vCenter-CA für vertrauenswürdig erklärt haben, um Zertifikatswarnungen im Browser loszuwerden, können Sie diese in Zukunft verwenden, um gelegentlich Zertifikate für Systeme auszustellen, die nicht zu vSphere gehören. Dabei müssen Sie sich aber folgender Einschränkungen bewusst sein, die mit dieser Vorgehensweise in der Praxis einhergehen:

• Sie können mithilfe der offiziellen Tools Ihrer vCenter-Appliance ausschließlich Serverzertifikate ausstellen.
• Diese Zertifikate verfügen über keinerlei Validierungsinformationen. Selbst wenn Sie diese mit den Mitteln der vCenter-CA zurückziehen, bekommen Systeme außerhalb von vSphere nichts davon mit.
• Um Zertifikate aus der vCenter-CA auszustellen, benötigen Sie den Root-Zugriff auf die vCenter-Appliance, was aus Security-Sicht maximal eingeschränkt sein sollte.

Falls die obigen Einschränkungen kein Hindernis darstellen, können Sie in drei Schritten ein Zertifikat erzeugen. Dafür nutzen Sie das Dienstprogramm "certool", das auch der Zertifikatsmanager intern aufruft. Bereiten Sie eine Konfigurationsdatei ("servercert.cfg") mit mindestens dem folgenden Inhalt vor:

Country = DE
Name= server.firma.de
Organization = Firma
OrgUnit = IT-Abteilung
State = Bayern
Locality = Muenchen
IPAddress = 10.0.123.123
Email = itA@firma.de
Hostname = server.firma.de

Die Parameter kennen Sie bereits vom oben beschriebenen Assistenten. Übertragen Sie diese Datei per SCP auf die vCenter-Appliance und erzeugen Sie mit certool ein Schlüsselpaar:

/usr/lib/vmware-vmca/bin/certool --server localhost --genkey --privkey=/tmp/priv.key -pubkey=/tmp/pub.key

Mit diesem privaten Schlüssel können Sie nun das Zertifikat anlegen:

/usr/lib/vmware-vmca/bin/certool --gencert --cert=/tmp/server.cer --privkey=/tmp/priv.key --config=/temp/servercert.cfg

Kopieren Sie die beiden Dateien "priv.key" und "server.cer" auf Ihre Maschine. Bei Linux-Systemen können Sie sie direkt verwenden (falls nötig, ändern Sie die Erweiterung bei beiden Dateien zu "PEM"). Für den Einsatz unter Windows müssen Sie sie mit openssl in das PFX-Format konvertieren:

openssl pkcs12 -inkey priv.key -in server.cer -export -out server.pfx

Denken Sie daran, anschließend den SSH-Zugriff auf die vCenter-Appliance wieder zu sperren.

Fazit
Die Verwaltung von vSphere-Zertifikaten ist in ihrer Gesamtheit sehr komplex und sollte automatisiert bleiben, um das reibungslose Zusammenspiel der einzelnen Komponenten zu gewährleisten. Um Browserwarnungen loszuwerden, können Sie die Maschinenzertifikate durch vertrauenswürdige Zertifikate ersetzen oder die ganze vCenter-PKI Ihrer vorhandenen Unternehmens-PKI unterordnen. Stimmen Sie das hierfür zu verwendende Verfahren mit Ihrer IT-Sicherheit ab.

ln/jp/Evgenij Smirnov

Im ersten Teil der Workhop-Serie zeigten wir, warum die aus Windows bekannten Methoden zur Zertifikatsverwaltung unter vSphere nur bedingt funktonieren und wie Sie Endpunktzertifikate extern signieren lassen. Im zweiten Teil haben wir Schritt für Schritt erklärt, wie Sie vCenter-CA als untergeordnete CA etablieren.