cd ~/

Home of Daniel Graf

Benutzer-Werkzeuge

Webseiten-Werkzeuge


Seitenleiste

cd ~/

Home of Daniel Graf

Seiten

Suche

Blog Meta

Dynamo Dresden

Galerie

blog:vmware_-_vcsa_6.5_mit_zertifikat_auf_eigener_ca_betreiben

VMware - VCSA 6.5 mit Zertifikat auf eigener CA betreiben

Letztens war ich für einen Kunden aktiv, der eine VCSA in Version 6.5 eingesetzt hat. In dieser wollte er ein SSL Zertifikat einrichten, welches seine Windows CA ausgestellt hat. Anleitungen, wie man dabei vorgeht, gibt es ja von VMware:

Der Kunde und ich haben die Anleitungen strikt befolgt, mit dem Ergebnis dass die VCSA mit dem neuen Zertifikat der Windows CA lief und auch keine Zertifikats-Fehler im Browser auftraten. Allerdings konnten ab dem Zeitpunkt eingesetzte 3rd Party Tools sich nicht zur VCSA verbinden (mit dem VMware Zertifikat war dies kein Problem). Die Logs der 3rd Party Tools waren nicht sehr aufschlussreich, zumal ein curl Zugriff von den Appliances aus unproblematisch waren.

Wie sich am Ende herausgestellt hat, hat uns die VMware Doku in die Irre geführt. Im KB Artikel 2112277 (Replacing a vSphere 6.x Machine SSL certificate with a Custom Certificate Authority Signed Certificate (2112277)) steht geschrieben:

Note: If you have one or more intermediate certificate authorities, the root64.cer should be a chain of all intermediate CA and Root CA certificates.The „machine_name_ssl.cer“ should be a full chain for certificate+inter(s)+root.

The machine_name_ssl.cer should be a complete chain file similar to:
-----BEGIN CERTIFICATE-----
MIIFxTCCBK2gAwIBAgIKYaLJSgAAAAAAITANBgkqhkiG9w0BAQUFADBGMRMwEQYK
CZImiZPyLGQBGRYDbmV0MRYwFAYKCZImiZPyLGQBGRYGbW5uZXh0MRcwFQYDVQQD
Ew5tbm5leHQtQUQtMS1DQTAeFw0xMzAyMDExNjAxMDNaFw0xNTAyMDExNjExMDNa <-----Certificate
SMhYhbv3wr7XraAnsIaBYCeg+J7fKTFgjA8bTwC+dVTaOSXQuhnZfrOVxlfJ/Ydm
NS7WBBBFd9V4FPyRDPER/QMVl+xyoaMGw0QKnslmq/JvID4FPd0/QD62RAsTntXI
ATa+CS6MjloKFgRaGnKAAFPsrEeGjb2JgMOpIfbdx4KT3WkspsK3KPwFPoYza4ih
4eT2HwhcUs4wo7X/XQd+CZjttoLsSyCk5tCmOGU6xLaE1s08R6sz9mM=
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIDZzCCAk+gAwIBAgIQNO7aLfykR4pE94tcRe0vyDANBgkqhkiG9w0BAQUFADBG
K73RIKZaDkBOuUlRSIfgfovUFJrdwGtMWo3m4dpN7csQAjK/uixfJDVRG0nXk9pq
GXaS5/YCv5B4q4T+j5pa2f+a61ygjN1YQRoZf2CHLe7Zq89Xv90nhPM4foWdNNkr <-----Intermediate Certificate
/Esf1E6fnrItsXpIchQOmvQViis12YyUvwko2aidjVm9sML0ANiLJZSoQ9Zs/WGC
TLqwbQm6tNyFB8c=
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIDZzCCAk+gAwIBAgIQNO7aLfykR4pE94tcRe0vyDANBgkqhkiG9w0BAQUFADBG
K73RIKZaDkBOuUlRSIfgfovUFJrdwGtMWo3m4dpN7csQAjK/uixfJDVRG0nXk9pq
GXaS5/YCv5B4q4T+j5pa2f+a61ygjN1YQRoZf2CHLe7Zq89Xv90nhPM4foWdNNkr <-----Root Certificate
/Esf1E6fnrItsXpIchQOmvQViis12YyUvwko2aidjVm9sML0ANiLJZSoQ9Zs/WGC
TLqwbQm6tNyFB8c=
-----END CERTIFICATE-----

Die Datei machine_name_ssl.cer wird im Zertifikats Manager als Machine SSL Zertifikat angegeben. Laut VMware Doku soll da also die komplette Chain rein, wenn eine Intermediate CA eingesetzt wird. Dies scheint aber so nicht zu stimmen. Lässt man die Chain in dieser Datei weg und belässt darin nur das Machine SSL Zertifikat, läuft der Zertifikats Manager problemlos durch und auch die 3rd Party Tools können sich wieder zur VCSA verbinden…

Diskussion

Geben Sie Ihren Kommentar ein. Wiki-Syntax ist zugelassen:
 
blog/vmware_-_vcsa_6.5_mit_zertifikat_auf_eigener_ca_betreiben.txt · Zuletzt geändert: 2018/09/04 14:42 von Daniel Graf