Moin zusammen,
ich beschäftige mich gerade mit dem Certificate-Manager. Ich habe mir ein CSR erstellt, kann dabei leider aber nicht die Schlüssellänge beeinflussen. Geht das irgendwie?
Unsere CA verlangt 4096 bit. Der Standard beim vSphere scheint offenbar kürzer zu sein.
Muss ich beim ersrtellen des Requests noch einen Schalter mit angeben?
Finde leider keine brauchbaren Infos zum Certool.exe
Die Foren-SW läuft ohne erkennbare Probleme. Sollte doch etwas nicht funktionieren, bitte gerne hier jederzeit melden und wir kümmern uns zeitnah darum. Danke!
Certificate-Manager
Re: Certificate-Manager
Zum Anpassen hat VMWare die "certool.cfg" vorgesehen.
Re: Certificate-Manager
Die habe ich auch gefunden, aber wie muss die Config denn lauten, wenn ich eine Schlüssellänge von mind. 4096 bit benötige?
Unter https://pubs.vmware.com/vsphere-60/inde ... 815FA.html
ist leider nicht beschrieben, ob und wie das funktioniert, bzw. wie dafür die Syntax lautet.
Die Befehlezeilenreferenz zum Certool gibt dazu auch keine Information.
Unter https://pubs.vmware.com/vsphere-60/inde ... 815FA.html
ist leider nicht beschrieben, ob und wie das funktioniert, bzw. wie dafür die Syntax lautet.
Die Befehlezeilenreferenz zum Certool gibt dazu auch keine Information.
Re: Certificate-Manager
Stimmt. Die Dokumentation gibt dazu überhaupt nichts her.
Ich würde an deiner Stelle auf OpenSSL ausweichen, um das CSR zu erzeugen. Ich kann dir aber nicht sagen, wie der Certificate Manager dann auf den Key und das von deiner CA zurückkommende CRT reagiert...
Ich würde an deiner Stelle auf OpenSSL ausweichen, um das CSR zu erzeugen. Ich kann dir aber nicht sagen, wie der Certificate Manager dann auf den Key und das von deiner CA zurückkommende CRT reagiert...
Re: Certificate-Manager
Ich werde mal auf der Testfarm etwas rumhacken und probieren...
Wenn ich das irgendwie hinbekomme schreibe ich's hier rein.
Wenn ich das irgendwie hinbekomme schreibe ich's hier rein.
-
- King of the Hill
- Beiträge: 13561
- Registriert: 01.10.2008, 12:54
- Wohnort: laut USV-Log am Ende der Welt...
Re: Certificate-Manager
Die Frage, wie der Certificate-Manager auf OpenSSL reagiert, hatte meiner Erinnerung nach unser "irix" mal bereits beantwortet. VMware schreibt einige "Erweiterungen" rein und will die nachher auch sehen. Mit OpenSSL scheitert das jedoch logischerweise und der Schlüssel wird nicht akzeptiert.
Aber ob das auch jetzt noch Bestand hat, kann ich nicht sagen.
Aber ob das auch jetzt noch Bestand hat, kann ich nicht sagen.
-
- King of the Hill
- Beiträge: 12942
- Registriert: 02.08.2008, 15:06
- Wohnort: Hannover/Wuerzburg
- Kontaktdaten:
Re: Certificate-Manager
Hohoho.... der Kontext war bestimmt etwas anders. Ja es ist richtig das VMware ganz bestimmte Anforderungen hat aber in der Vergangenheit hab ich die CSRs immer mit OpenSSL gemacht und von der internen Windows CA unterschreiben lassen. Bei den meisten VMware Loesungen war das auch unten drunter. Den Certificate Manager kenne ich nicht. Rueckwirkdend betrachtet stelle ich den betraechtlichen Aufwand in Frage (und das obwohl ich seit 10 Jahren unsere Apaches und sonstiges Gedoehn gerne mit eigenen signierten Zerts ausstatte).
Gruss
Joerg
Gruss
Joerg
-
- Experte
- Beiträge: 1006
- Registriert: 30.10.2004, 12:41
Re: Certificate-Manager
Ich habe schon einmal alle CSRs für ein Windows-basiertes vCenter 6.0 mit OpenSSL erstellt und dann die Zertifikate mit dem VMware Zertifikatmanager installiert.
Auf www.derekseaman.com gibt eis ein PowerShell Tool zum Zertifikatsmanagement welches auch genau das tut; da hab ich mir das was ich brauchte rausgeholt. Das ruft im Hintergrund OpenSSL auf.
Auf www.derekseaman.com gibt eis ein PowerShell Tool zum Zertifikatsmanagement welches auch genau das tut; da hab ich mir das was ich brauchte rausgeholt. Das ruft im Hintergrund OpenSSL auf.
Re: Certificate-Manager
Danke für Eure Infos.
Bei uns werden gerade extremst strenge Richtlinien aktiviert, so dass man selbst uns Admins bei internen Adressen Knüppel zwischzen die Beine wirft...
Deshalb mach ich gerade diesen Aufriss...
Ansonsten wäre mir das auch völlig egal.
Bei uns werden gerade extremst strenge Richtlinien aktiviert, so dass man selbst uns Admins bei internen Adressen Knüppel zwischzen die Beine wirft...
Deshalb mach ich gerade diesen Aufriss...
Ansonsten wäre mir das auch völlig egal.
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 14 Gäste