Das Forum wurde aktualisiert. Wurde höchste Zeit. Wenn etwas nicht funktioniert, bitte gerne hier jederzeit melden.
(Das "alte Design" kommt wieder, wird ne Weile brauchen!)

Certificate-Manager

Alles zum Thema vSphere 6, ESXi 6.0 und vCenter Server.

Moderatoren: irix, continuum, Dayworker, Tschoergez

Member
Beiträge: 41
Registriert: 27.02.2013, 11:46
Wohnort: Oldenburg

Certificate-Manager

Beitragvon Schimmi » 06.01.2017, 09:23

Moin zusammen,

ich beschäftige mich gerade mit dem Certificate-Manager. Ich habe mir ein CSR erstellt, kann dabei leider aber nicht die Schlüssellänge beeinflussen. Geht das irgendwie?

Unsere CA verlangt 4096 bit. Der Standard beim vSphere scheint offenbar kürzer zu sein.

Muss ich beim ersrtellen des Requests noch einen Schalter mit angeben?
Finde leider keine brauchbaren Infos zum Certool.exe

Experte
Beiträge: 1747
Registriert: 23.02.2012, 12:26

Re: Certificate-Manager

Beitragvon ~thc » 06.01.2017, 09:45

Zum Anpassen hat VMWare die "certool.cfg" vorgesehen.

Member
Beiträge: 41
Registriert: 27.02.2013, 11:46
Wohnort: Oldenburg

Re: Certificate-Manager

Beitragvon Schimmi » 09.01.2017, 13:34

Die habe ich auch gefunden, aber wie muss die Config denn lauten, wenn ich eine Schlüssellänge von mind. 4096 bit benötige?

Unter https://pubs.vmware.com/vsphere-60/inde ... 815FA.html

ist leider nicht beschrieben, ob und wie das funktioniert, bzw. wie dafür die Syntax lautet.
Die Befehlezeilenreferenz zum Certool gibt dazu auch keine Information.

Experte
Beiträge: 1747
Registriert: 23.02.2012, 12:26

Re: Certificate-Manager

Beitragvon ~thc » 09.01.2017, 15:30

Stimmt. Die Dokumentation gibt dazu überhaupt nichts her.

Ich würde an deiner Stelle auf OpenSSL ausweichen, um das CSR zu erzeugen. Ich kann dir aber nicht sagen, wie der Certificate Manager dann auf den Key und das von deiner CA zurückkommende CRT reagiert...

Member
Beiträge: 41
Registriert: 27.02.2013, 11:46
Wohnort: Oldenburg

Re: Certificate-Manager

Beitragvon Schimmi » 09.01.2017, 16:23

Ich werde mal auf der Testfarm etwas rumhacken und probieren...
Wenn ich das irgendwie hinbekomme schreibe ich's hier rein.

Benutzeravatar
King of the Hill
Beiträge: 12021
Registriert: 01.10.2008, 12:54
Wohnort: laut USV-Log am Ende der Welt...

Re: Certificate-Manager

Beitragvon Dayworker » 09.01.2017, 16:55

Die Frage, wie der Certificate-Manager auf OpenSSL reagiert, hatte meiner Erinnerung nach unser "irix" mal bereits beantwortet. VMware schreibt einige "Erweiterungen" rein und will die nachher auch sehen. Mit OpenSSL scheitert das jedoch logischerweise und der Schlüssel wird nicht akzeptiert.

Aber ob das auch jetzt noch Bestand hat, kann ich nicht sagen.

Jenseits von Gut & Böse
Beiträge: 10901
Registriert: 02.08.2008, 15:06
Wohnort: Hannover/Wuerzburg
Kontaktdaten:

Re: Certificate-Manager

Beitragvon irix » 09.01.2017, 19:25

Hohoho.... der Kontext war bestimmt etwas anders. Ja es ist richtig das VMware ganz bestimmte Anforderungen hat aber in der Vergangenheit hab ich die CSRs immer mit OpenSSL gemacht und von der internen Windows CA unterschreiben lassen. Bei den meisten VMware Loesungen war das auch unten drunter. Den Certificate Manager kenne ich nicht. Rueckwirkdend betrachtet stelle ich den betraechtlichen Aufwand in Frage (und das obwohl ich seit 10 Jahren unsere Apaches und sonstiges Gedoehn gerne mit eigenen signierten Zerts ausstatte).


Gruss
Joerg

Profi
Beiträge: 972
Registriert: 30.10.2004, 12:41

Re: Certificate-Manager

Beitragvon mbreidenbach » 10.01.2017, 09:35

Ich habe schon einmal alle CSRs für ein Windows-basiertes vCenter 6.0 mit OpenSSL erstellt und dann die Zertifikate mit dem VMware Zertifikatmanager installiert.

Auf www.derekseaman.com gibt eis ein PowerShell Tool zum Zertifikatsmanagement welches auch genau das tut; da hab ich mir das was ich brauchte rausgeholt. Das ruft im Hintergrund OpenSSL auf.

Member
Beiträge: 41
Registriert: 27.02.2013, 11:46
Wohnort: Oldenburg

Re: Certificate-Manager

Beitragvon Schimmi » 10.01.2017, 14:57

Danke für Eure Infos.

Bei uns werden gerade extremst strenge Richtlinien aktiviert, so dass man selbst uns Admins bei internen Adressen Knüppel zwischzen die Beine wirft...
:evil:
Deshalb mach ich gerade diesen Aufriss...

Ansonsten wäre mir das auch völlig egal.


Zurück zu „vSphere 6.0“

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast