Was hat es mit den Zertifikaten auf sich???

[jcl]

Hallo,

wenn ich bisher nach "Schwierigkeiten bei einer VMWare Installation" gefragt mhabe, hieß es bisher immer, das sei alles ganz einfach! Also hab' auch ich mich daran gewagt und auf ein Vista Home Premium 64Bit den VMWare Server 2.0 installiert. Installation lief auch ohne Problem durch. Doch der erste Start von VMWare Server Home Page bringt die erste Ernüchterung: "Das Sicherheitszertifikat dieser Website wurde nicht von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt." wird mir angezeigt.

Und schon bin ichmit meinem Latei am Ende.

1. Was hat es mit den Zertifikaten auf sich?

2. Brauche ich für VMWare auf jeden Fall ein Zertifikat, oder kann ich die Abfrage auch "umgehen"?

3. Wo bekomme ich ggf. ein Zertifikat (kostenlos) her, und wie wird es Installiert?

Vielleicht könnt ihr mich mal "aufklären", ich kenn mich in diesem Thema noch überhaupt nicht aus, und verstehe oft auch nur Bahnhof, wenn ich hier im Forum die verschiedenen Beiträge dazu lese. Habe dazu auch in meinem Buch "Virtuelle Maschinen mit VMWare und Microsoft" bisher nichts gelesen.

Vielen Dank schon mal im voraus.

Gruß, Johannes.

[Dayworker]

Hättest Du Dir die Zertifikate mal angesehen, wüßtest Du das sie von VMware selbstsigniert und damit nur nach Überprüfung des Fingerabdrucks genauso sicher wie öffentlich zertifizierte sind. Es ist in vielen Firmen oder Uni's völlig normal, intern nur selbstsignierte Zertifikate zu nutzen. Es gibt zum einen niemand freiwillig die jährlichen Summen aus, die Verisign oder Thawte & Co für ein Zertifikat aufrufen und zum anderen bräuchtest du für jeden Server ein eigenes, ansonsten beschwert sich das OS ja wieder und das auch völlig zu Recht.
Wenn Dich die Fehlermeldung stört, kannst Du das Zertifikat auch importieren und bekommst keine Meldung mehr darüber.
Aber das steht eigentlich so auch in den Handbüchern

[jcl]

Vielen Dank für Deine Infos.

Vielleicht hast Du meinen letzten Absatz nicht gelesen: Ich kenne mich mit dem Thema "Zertifikate" überhaupt noch nicht aus. Deshalb verstehe ich auch das was Du schreibst nur zur Hälfte.

Hättest Du Dir die Zertifikate mal angesehen

Welche und wo?

Wenn Dich die Fehlermeldung stört, kannst Du das Zertifikat auch importieren und bekommst keine Meldung mehr darüber.

Wo finde ich das Zertifikat und wie ist es zu importieren?

Handbücher? Ich habe nur das PDF "VMware Server User’s Guide". Und da hb ich nichts drin gefunden, es sei denn ich habe heute morgen Tomaten auf den Augen

Vielleicht kannst du mir ja noch ein paar Anstöße geben. Danke.

Gruß, Johannes.

[Dayworker]

Na die Zertifikatsmeldungsmeldung hast Du bekommen und nun schaust Dir die Info dazu halt an (Browserabhängig aber vom Inhalt gleich) und vergleichst am Einfachsten dessen Inhalt mit dem Programm das du installieren willst...
Diese Info kannst Du dann ganz einfach in deinen Browser importieren oder hast Du noch nie einen Onlineshop oder allgemein gesicherte Seiten im Web besucht?

Wenn Du diese Fragen nur mit Nein beantworten kannst, wirst Du vielleicht einige andere Dinge unter Server2 leider auch nicht verstehen. Aber der Einsatz lohnt sich

[jcl]

Wenn ich über die bei der Installation auf dem Desktop angelegte Verknüpfung im IE7 die Homepage des VMServers aufrufe (https://host:8333/ui/) erhalte ich bei mir die Dialog-Box "Digitales Zertifikat" auswählen" mit der Information "Identifikation - Die Website, die Sie ansehen möchten, erfordert eine Indentfizierung. Wählen Sie ein Zertifikat aus." Es wird aber kein Zertifikat zum Auswählen angezeigt!? Somit kann ich auch keine Informationen einsehen oder sonstwas machen.

[Dayworker]

Wie ich auch grad merke, hat sich IE7 so richtig bescheiden und der logische Weg wie im FF ist mal wieder versperrt.
Also Du mußt doch auf OK gehen, Webseite wird geblockt, Warnmeldung "Laden dieser Webseite (nicht empfohlen) in den Wind schlagen, erneut die Zertifikatswarnung ertragen, wieder auf OK gehen et voila.
Keine Ahnung welche Fallstricke alle Browser unter Vista noch zusätzlich aktivieren

[jcl]

Auf jeden Fall mal vielen Dankfür Deine Geduld und Hilfe!

Sollte irgendwer ne Lösung für IE7 und / oder FF haben, bin ich für weitere Infos und Hinweise dankbar.

Gruß, Johannes.

[Dayworker]

Ich weiß ja nicht was Dir an meiner Abfolge nicht gefällt, aber so gehts bei mir mit dem IE7 unter XP.
Für FF3.0.3 kann ich es Dir nicht mehr genau sagen, nur so viel ich hab mir das Zertifikat anzeigen lassen und dann einfach per Schaltfläche importiert...

[jcl]

Da hat nichts mit "Deiner Abfolge" zu tun, weniger Klicks wären nur angenehmer und eigentlich könnte es ja auch ohne die ganzen Meldungen gehen oder?

Johannes.

[Dayworker]

Wenn Du meine Abfolge für den IE7 durch hast und die Abfrage für den "VMware Infrastructur Web Access" erhalten hast, sollte Dir eigentlich auch der rote Sicherheitsbericht mit der Aufschrift Zertifikatsfehler neben der Adress-Eingabe aufgefallen sein. Anscheinend hast Du den noch nicht bemerkt und demzufolge darüber das Zertifikat auch noch nicht angesehen & letztendlich installiert/importiert.

[vkratz]

Hallo,
es ist relativ einfach das eigene Zertifikat in seinen IE7 einzubauen.
Die Frage ist, wo es sich auf der Platte versteckt!
Im Verzeichnis C:\program files\vmware\vmware server\SSL
hat sich das Zertifikat eingenistet. Es ist das "rui "File.
Also Pfad merken!
Jetzt den IE7 öffnen. Oben rechts Extras klicken. Internetoptionen auswählen.
Den Reiter Inhalte aktivieren und auf den Button Zertifikate klicken.
Dann auf den TAB Vertrauenswürdige Stammzertifizierungsstellen gehen und auf den Button impotieren klicken.
Den Dialog einfach nur befolgen (Ihr habt euch ja den Pfad zum Zert.gemerkt).
Wichtig ist es darauf zu achten das das Zertifikat auch wirklich in den Vertrauenswürdigen Stammzertifizierungsstellen landet, also nichts automatisches beim Import aktivieren.
Das war es auch schon. IE7 schließen und VMWARE Server Homepage aufrufen.
Das lästige Bestätigen des nicht vertrauten Zertifikats ist verschwunden und man hat volle HTTPS Funktionalität.

[jcl]

Danke für die ausführliche Anleitung!
Das werde ich natürlich ausprobieren.

Gruß, Johannes.

[dirk-john]

Hallo vkratz,

vielen Dank für Deine Hilfe, es klappt auch fast!
Ich muss statt zweimal nur noch ein mal eine Nachricht
wegklicken, damit das VI Webinterface mit der Login-Maske
erscheint, und es wird auch nicht mehr nach einem Zertifikat gefragt,
zumindest ist der rote Balken oben im IE7 weg. und nach vertrauenswürdiger
Seite wird auch nicht mehr gefragt!

Soweit so gut, wie bekomme ich denn jetzt noch die andere Abfrage weg?
Und wie wäre es möglich sich über die inteerne windows authentifizierung
direkt ein zu loggen ohne das man sich noch mal extra anmelden muss am VI?

sprich die DIalogBox die jcl bekommt:
"Digitales Zertifikat" auswählen" mit der Information "Identifikation - Die Website, die Sie ansehen möchten, erfordert eine Indentfizierung. Wählen Sie ein Zertifikat aus."

und wie jcl beschreibt ist diese DialogBox leer, darin kann man nichts auswählen und oder bestätigen, lediglich "Ok" oder "Abbrechen" und egal was ich davon auswähle es erscheint dann die VI-Weboberfläche mit dem Login....

Mein OS = Vista Home Premium 64bit

[Dayworker]

Der VI-Client ist Systemübergreifend und zumindest unter jedem NT5-Windows lauffähig. Da sich die Windows-Auth bei einigen Versionen im Umfang verändert hat, dürfte das nur mit gehörigem Aufwand verbunden sein und der Server2 ist kostenlos.

Die Meldung wegen dem digitalen Zertifikat beim Start des VI-Clients ist nicht VMwares Problem sondern ein Vista64 eigenes. Da Vista nicht auf der Liste der unterstützten Host-Betriebssysteme steht bzw kommen wird, wird sich dein Problem auch nicht auflösen. Mehr Informationen gibt es im Thread Wichtig: VMserver on Vista 64bit. Dort steht dann auch, wie man die Hürde zu einem hohen Preis, nämlich der dann fehlenden Sicherheit, krücken kann.

[minimike]

Bei CaCert kosten die Zertifikate kein Geld sondern nur etwas Vereinsarbeit. Es reicht aus 3 Zertifikatsanwärter per Lichtbildausweis zu prüfen. Grob beschrieben

genaueres unter www.cacert.org

[irix]

Also eine eigene CA und entsprechend dann eigene Certs zu erstellen dauert, wenn man weis wie es geht, keine Ewigkeit und man ist in ca. 15min durch.

Beim ersten Mal natuerlich etwas laenger weil man sich durch VMware ihr PDF lesen muss. Die noetigen Schritte sind erklaert und auch wo die Zerts dann hinkommen bei VMware Server, vCenter und ESX.

Die Not ein seine Certs von einer bekannten CA unterschreiben zulassen sehe ich nicht solange nicht Fremde direkt mit dem Server/vCenter in Kontakt treten.

Fuer mich immer Unverstaendlich warum die Zerts immer den ComonName "vmware" tragen und nicht den des Rechners bzw. das man bei der Installation mal gefragt wird.

Die CA und Zerts lassen sich unter Windows/Unix mit OpenSSL erstellen. Ein weiterer positiver Nebeneffekt ist das in den ganzen Logs und eigenen Scripten keine SSL "Warnungen" mehr erscheinen. Man hat dann gleich einen Blick fuer das wesentliche.

Gruss
Joerg

[Dayworker]

@minimike, irix
Ich bin immer davon ausgegangen, daß nur Zertifikate für die unterstützten Host-Betriebssysteme hinterlegt wurden und der Rest halt einfach hinten runterfällt...

[minimike]

Nö VMware erstellt immer selbstsignierte Zertifikate. Da Zertifikate niemals im Umlauf sind lässt sich so beim Gegenprüfen über den CA die Vertrauenswürdigkeit feststellen, bzw. das Zertifikat ist fälschungssicher Zertifiziert. .Das ist für mich ein KO Kriterium. Über die Javaaplikation und das Remotedisplay werden Passwörter und Informationen übertragen die für den Rest der Welt nicht zugänglich sein sollen. Nicht auszudenken wenn solche Anfragen umgeleitet werden und so Passwörter in den unbefugten Umaluf gelangen. Ich kann dir mal per PM die Adresse eines unserers VMwareservers mitteilen wo ich die Zertifikate gegen meine eigenen von CaCert ausgetauscht habe.

[Dayworker]

Selbstsignierte Zertifikate werden ja von vielen Leuten/Institutionen/Uni's genutzt und sind eigentlich für meine bisherigen Begriffe ausreichend. Ich habe jedoch auch schon das Problem mit dem Gegenprüfen dieser Zertifikate gehabt...

PS: Hattest du in einem anderen Thread nicht nach dem Speicherort für die Zertifikate gefragt?

PPS: Ich habe Interesse und warte auf PM. Alles weitere bitte dann darüber.