Hallo Zusammen,
wir haben noch VSphere bzw. Vcenter in der V 5.5 im Einsatz.
Es wurde ein SSl Zertifikat gekauft. Nun wollte ich dieses installieren. Leider ist das nicht so einfach. Habe jetzt diverses gestetet, ohne Erfolg.
Ich habe es mit dem "ssl-updater" versucht. Leider bekomme ich hier den Fehler das die Chain bzw. ein Codierungsfehler vorliegt.
Habe folgende Zertifikate:
Eine PEM Datei und den Key dazu. Desweiteren die Windows certificate.crt, 2 x intermediate.crt und ein root.crt
Getestet via SSL-Updater habe ich es so:
Main Menü:
Option 4. Update the vCenter Server SSL Certificate
Menü Punkt 4
Option 2. Update the vCenter Server SSL Certificate
The chosen service is: 2
[06.12.2018 - 15:15:22,59]: Services what will be restarted as part of this oper
ation are: VMware VirtualCenter Server, VMware VirtualCenter Management Webservi
ces and VMware vSphere Profile-Driven Storage Service.
Enter location to the new vCenter Server SSL chain: Pfad zur gekauften "pem" Datei
Enter location to the new vCenter Server private key: Pfad zur gekauften "key" Datei
Das andere überspringe ich jetzt...........
Fehler Ausgabe:
[.] ERROR: The certificate chain file cannot be decoded. The file is either corr
upt or contains an unsupported object type.
[.] ERROR: The supplied certificate chain is not valid.
[06.12.2018 - 14:14:56,44]: Last operation update vCenter Server SSL certificate
failed :
[06.12.2018 - 14:14:56,44]: The input parameters are missing or incorrect. Check
the logs for more details.
Was ich auch nicht verstehe, es wird immer von einer rui.key datei geschrieben. Muss ich die neu erstellen lassen? Warum habe ich dann die gekaufte key datei? Die wäre ja die richtige oder? Dort in den gekauften ist ja die richtige Domain hinterlegt.
VG
Xris
Die Foren-SW läuft ohne erkennbare Probleme. Sollte doch etwas nicht funktionieren, bitte gerne hier jederzeit melden und wir kümmern uns zeitnah darum. Danke!
SSL Zertifikate
Re: SSL Zertifikate
Ein paar Vorbemerkungen zur Klärung:
- Zertifikate gibt es in zwei Formaten: PEM (Text, beginnt mit "-----BEGIN CERTIFICATE-----") und DER (binär)
- Zertifikate haben kein festes Dateisuffix und sind nicht an ein OS gebunden
- Bestimmte Dienste oder Software erfordern bestimmte Zertifikat-Formate. PEM ist am häufigsten.
- Eine Schlüsseldatei (key) sollte immer lokal erzeugt werden (und bleiben) - niemals "gekauft" werden.
- Eine "key"-Datei schließt nur ein Zertifikat auf und enthält keine Domain/-daten
- Mehrere PEM-Zertifikate kann man in einer Datei kombinieren
Fragen:
- Welches Format haben deine Dateien?
- Ist die gültige Kette root -> intermediate1 -> intermediate2 -> certificate?
- Zertifikate gibt es in zwei Formaten: PEM (Text, beginnt mit "-----BEGIN CERTIFICATE-----") und DER (binär)
- Zertifikate haben kein festes Dateisuffix und sind nicht an ein OS gebunden
- Bestimmte Dienste oder Software erfordern bestimmte Zertifikat-Formate. PEM ist am häufigsten.
- Eine Schlüsseldatei (key) sollte immer lokal erzeugt werden (und bleiben) - niemals "gekauft" werden.
- Eine "key"-Datei schließt nur ein Zertifikat auf und enthält keine Domain/-daten
- Mehrere PEM-Zertifikate kann man in einer Datei kombinieren
Fragen:
- Welches Format haben deine Dateien?
- Ist die gültige Kette root -> intermediate1 -> intermediate2 -> certificate?
Re: SSL Zertifikate
Guten Morgen,
Erstmal danke für Deine Antwort.
zu 1:
Format der Zertifikate ist denk ich Text basierend. ----Beginn Certificate ----
zu 2:
Erwähnte ich bereits:
" Habe folgende Zertifikate:
Eine PEM Datei und den Key dazu. Desweiteren die Windows certificate.crt, 2 x intermediate.crt und ein root.crt "
VG
Xris76
Erstmal danke für Deine Antwort.
zu 1:
Format der Zertifikate ist denk ich Text basierend. ----Beginn Certificate ----
zu 2:
Erwähnte ich bereits:
" Habe folgende Zertifikate:
Eine PEM Datei und den Key dazu. Desweiteren die Windows certificate.crt, 2 x intermediate.crt und ein root.crt "
VG
Xris76
Re: SSL Zertifikate
Meinst du eine Datei namens "Windows certificate.crt"? Das ist missverständlich.
- Enthält die "PEM Datei" nur ein Zertifikat?
- Enthalten die anderen vier "crt"-Dateien auch jeweils ein PEM-Zertifikat?
- Enthält die "PEM Datei" nur ein Zertifikat?
- Enthalten die anderen vier "crt"-Dateien auch jeweils ein PEM-Zertifikat?
Re: SSL Zertifikate
Hi,
anbei mal 2 Sceenshots.
Sorry, im Bereich Zertifikate bin ich nicht so fit. Nur das nötigste.
In den Zertifikaten ist immer nur eins hinterlegt denk ich
Beginn und End Certificate
VG
anbei mal 2 Sceenshots.
Sorry, im Bereich Zertifikate bin ich nicht so fit. Nur das nötigste.
In den Zertifikaten ist immer nur eins hinterlegt denk ich
Beginn und End Certificate
VG
Re: SSL Zertifikate
Veröffentliche mal bitte hier beide "Intermediate"-Zertifikate, damit ich die Reihenfolge bestimmen kann.
Re: SSL Zertifikate
Was man auf keinen Fall Dritten zugänglich machen darf: Schlüsseldateien (key) und Requests (csr).
Was man eventuell lokal halten will: Nicht öffentliche, eigene Zertifikate.
Was man bedenkenlos weitergeben kann: Öffentliche Intermediate-Zertifikate und öffentliche Root-Zertifikate.
Wenn du also ein Zertifikat einer öffentlichen CA (DigiCert, VeriSign und Co.) gekauft hast, dann sollten die beiden Intermediate-Zertifikate und das Root-Zertifikat auch öffentlich sein, und du kannst die Dateien hier verlinken, damit ich sie analysieren kann.
Was man eventuell lokal halten will: Nicht öffentliche, eigene Zertifikate.
Was man bedenkenlos weitergeben kann: Öffentliche Intermediate-Zertifikate und öffentliche Root-Zertifikate.
Wenn du also ein Zertifikat einer öffentlichen CA (DigiCert, VeriSign und Co.) gekauft hast, dann sollten die beiden Intermediate-Zertifikate und das Root-Zertifikat auch öffentlich sein, und du kannst die Dateien hier verlinken, damit ich sie analysieren kann.
Re: SSL Zertifikate
Hallo,
hmmm......
bin mir etwas unsicher ob ich diese rausgeben sollte. Auch wenn es ok ist. Ist nix persönliches, nur gesundes Misstrauen gegenüber Dingen, die nicht so mit Erfahrungen strotzen.
Kann ich das auch selber irgenwie prüfen? Was wäre dann von interesse?
In sämtlichen Anleitungen bezüglich des Austausches der Zertifikate stand nie etwas von diesen Zwischenzertifikaten. Deshalb frage ich mich welche rolle die in der Chain sprechen.
hmmm......
bin mir etwas unsicher ob ich diese rausgeben sollte. Auch wenn es ok ist. Ist nix persönliches, nur gesundes Misstrauen gegenüber Dingen, die nicht so mit Erfahrungen strotzen.
Kann ich das auch selber irgenwie prüfen? Was wäre dann von interesse?
In sämtlichen Anleitungen bezüglich des Austausches der Zertifikate stand nie etwas von diesen Zwischenzertifikaten. Deshalb frage ich mich welche rolle die in der Chain sprechen.
Re: SSL Zertifikate
Ich mache das unter Linux mit
Dann werden alle relevanten Infos ausgegeben. Interessant sind dabei die "Issuer" deiner Zertifikate und wie sie aufeinander aufbauen.
Mal angenommen, du hast folgende Kette: root -> intermediate1 -> intermediate2 -> certificate
Dann musst du alle drei in umgekehrter Reihenfolge in eine Datei kopieren:
Das kombinierte Zertifikat sollte dann angenommen werden.
Code: Alles auswählen
openssl x509 -in certificate.crt -noout -text
Dann werden alle relevanten Infos ausgegeben. Interessant sind dabei die "Issuer" deiner Zertifikate und wie sie aufeinander aufbauen.
Mal angenommen, du hast folgende Kette: root -> intermediate1 -> intermediate2 -> certificate
Dann musst du alle drei in umgekehrter Reihenfolge in eine Datei kopieren:
Code: Alles auswählen
cat certificate.crt intermediate2.crt intermediate1.crt > combined.crt
Das kombinierte Zertifikat sollte dann angenommen werden.
Re: SSL Zertifikate
Hallo,
ok ...danke dafür.
Problem ist, diese Kette bringt mir so nichts denk ich. Das SSL Updater Tool möchte ja folgende Zertifikate:
Ein PEM .pem File und eine RUI rui.cert Datei.
Er nimmt nicht das bestehende oder ein neu erstelltes RUI Zertifikat in Kombination mit der kekauften PEM Datei.
Ich habe auch versucht die -----BEGIN CERTIFICATE---- und ----BEGINN RSA .....__ Header in den Files anzupassen ohne erfolg.
VG
Xris76
ok ...danke dafür.
Problem ist, diese Kette bringt mir so nichts denk ich. Das SSL Updater Tool möchte ja folgende Zertifikate:
Ein PEM .pem File und eine RUI rui.cert Datei.
Er nimmt nicht das bestehende oder ein neu erstelltes RUI Zertifikat in Kombination mit der kekauften PEM Datei.
Ich habe auch versucht die -----BEGIN CERTIFICATE---- und ----BEGINN RSA .....__ Header in den Files anzupassen ohne erfolg.
VG
Xris76
Re: SSL Zertifikate
Zitat von ganz oben:
Eine PEM-Datei - die laut meinem Vorschlag die kombinierte CRT-Datei (aus Zertifikat und beiden Intermediates) sein sollte - und die KEY-Datei.
Die Zertifikate selbst zu editieren ist nicht sinnvoll.
xris76 hat geschrieben:Enter location to the new vCenter Server SSL chain: Pfad zur gekauften "pem" Datei
Enter location to the new vCenter Server private key: Pfad zur gekauften "key" Datei
Das andere überspringe ich jetzt...........
Eine PEM-Datei - die laut meinem Vorschlag die kombinierte CRT-Datei (aus Zertifikat und beiden Intermediates) sein sollte - und die KEY-Datei.
Die Zertifikate selbst zu editieren ist nicht sinnvoll.
Re: SSL Zertifikate
Hallo,
ich habe es nochmal versucht. Hab eine Chain in umgekehrter Reihenfolge gebildet. Leider hat es damit auch nicht geklappt.
Ich habe mich dazu entschieden unsere Infrastruktur auf 6.5 zu ziehen. Leider ist dann der Client nur noch in der Webversion möglich, aber ist halt dann so.
Ich danke Dir für deine Geduld und Hilfe.
VG
Xris76
ich habe es nochmal versucht. Hab eine Chain in umgekehrter Reihenfolge gebildet. Leider hat es damit auch nicht geklappt.
Ich habe mich dazu entschieden unsere Infrastruktur auf 6.5 zu ziehen. Leider ist dann der Client nur noch in der Webversion möglich, aber ist halt dann so.
Ich danke Dir für deine Geduld und Hilfe.
VG
Xris76
Zurück zu „vCenter / VMware VirtualCenter“
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 14 Gäste