Hallo,
bei starten des VI-Clients bekomme ich ständig eine Sicherheitsmeldung das ein "nicht" vertrauenswürdiges Zertifikat vorliegt, obwohl das selbstsignierte Zertifikat installiert wurde und als gültig angezeigt wird. Ich bin nach folgender Anleitung vorgegangen:
--> http://www.vm-help.com/esx/esx3i/change ... d_cert.php
Auf einer anderen WWW-Site habe ich gelesen das generell bei selbstsignierten Zertifikaten, Sicherheitsmeldungen auftreten.
- gilt dies nur für die Erstellung über die mitgelieferten Tools ?
- kann ich die Fehlermeldung nur mit einem gekauften Zertifikat umgehen ?
Gruß
otta
Die Foren-SW läuft ohne erkennbare Probleme. Sollte doch etwas nicht funktionieren, bitte gerne hier jederzeit melden und wir kümmern uns zeitnah darum. Danke!
Zertifikat erstellen und ersetzen
-
irix
- King of the Hill
- Beiträge: 13064
- Registriert: 02.08.2008, 15:06
- Wohnort: Hannover/Wuerzburg
- Kontaktdaten:
Wenn sowohl RootCA als auch das Certifikat in den Zertifikatsspeichern vorhanden sind tauchen keine Warnungen mehr auf. Ob nun selbstsignierte oder gekaufte spielt dabei keine Rolle weil technisch gibts da keinen Unterschied.
Ich signiere selbst und hab keine Meldungen. Da ich auch selbst Scripte schreibe und VCB benutze haben mich die SSL Warnung von Anfang an gestoert und wir haben das abgestellt in dem wir die Zertifkate ausgetauscht haben. Dauert keine 30min. und koennte man auch auf vCenter beschraenken da man i.d.R ja nicht direkt zum ESX connectet.
Gruss
Joerg
Ich signiere selbst und hab keine Meldungen. Da ich auch selbst Scripte schreibe und VCB benutze haben mich die SSL Warnung von Anfang an gestoert und wir haben das abgestellt in dem wir die Zertifkate ausgetauscht haben. Dauert keine 30min. und koennte man auch auf vCenter beschraenken da man i.d.R ja nicht direkt zum ESX connectet.
Gruss
Joerg
irix hat geschrieben:Wenn sowohl RootCA als auch das Certifikat in den Zertifikatsspeichern vorhanden sind tauchen keine Warnungen mehr auf. Ob nun selbstsignierte oder gekaufte spielt dabei keine Rolle weil technisch gibts da keinen Unterschied.
Ich signiere selbst und hab keine Meldungen. Da ich auch selbst Scripte schreibe und VCB benutze haben mich die SSL Warnung von Anfang an gestoert und wir haben das abgestellt in dem wir die Zertifkate ausgetauscht haben. Dauert keine 30min. und koennte man auch auf vCenter beschraenken da man i.d.R ja nicht direkt zum ESX connectet.
Gruss
Joerg
Hallo Jörg,
ich verbinde mich direkt mit dem ESXi Server und bekomme ständig die Fehlermeldung das mit dem Zertifikat etwas nicht in Ordnung sei, obwohl ich das Zertifikat in den vertrauenswürdigen Zertifikatsspeicher installiert habe und auch der Zertifizierungspfad als korrekt angezeigt wird.
Normalerweise kenne ich das auch so das ich für den Eigenbedarf selbstsignierte Zertifikate einsetzen kann mich hat eben die Aussage in einem vmware Manual etwas iritiert.
".....Die Verwendung von nicht vertrauenswürdigen SSL-Zertifikaten kann zu Sicherheitswarnungen führen. Um dieses Problem zu beheben, fügen Sie ein von einer anerkannten Zertifizierungsstelle signiertes Zertifikat hinzu....."
aus dem vmware manaual: vi3_35_25_u2_3i_server_config_de.pdf !! (Seite: 203/204)
hat mir noch jemand ein Tipp was ich verändern kann/muss um die Fehlermeldung nicht mehr zu erhalten ?
Gruß
otta
-
irix
- King of the Hill
- Beiträge: 13064
- Registriert: 02.08.2008, 15:06
- Wohnort: Hannover/Wuerzburg
- Kontaktdaten:
otta hat geschrieben:ich verbinde mich direkt mit dem ESXi Server und bekomme ständig die Fehlermeldung das mit dem Zertifikat etwas nicht in Ordnung sei, obwohl ich das Zertifikat in den vertrauenswürdigen Zertifikatsspeicher installiert habe und auch der Zertifizierungspfad als korrekt angezeigt wird.
Aber der Chain ist unterbrochen weil das Stammzertifikat von dem aus das Webserver Zertifikat ausgestellt worden ist bei dir noch nicht vorhanden ist. K.A ob VMware das irgendwo mal mit ausgeliefert hat oder ob man sich das herunterladen kann.
Die Anwendung will das nun bereits hinterlegte Zertifikat ueberpruefen, was es immer tut, und laeuft auf einen weiteren Fehler in der Form das es das Stammzertifikat nicht findet.
Normalerweise kenne ich das auch so das ich für den Eigenbedarf selbstsignierte Zertifikate einsetzen kann mich hat eben die Aussage in einem vmware Manual etwas iritiert.
".....Die Verwendung von nicht vertrauenswürdigen SSL-Zertifikaten kann zu Sicherheitswarnungen führen. Um dieses Problem zu beheben, fügen Sie ein von einer anerkannten Zertifizierungsstelle signiertes Zertifikat hinzu....."
Auf amerikanischen Kaffeebechern steht auch "Vorsicht Heiss!".
aus dem vmware manaual: vi3_35_25_u2_3i_server_config_de.pdf !! (Seite: 203/204)
hat mir noch jemand ein Tipp was ich verändern kann/muss um die Fehlermeldung nicht mehr zu erhalten ?
Hab ich doch schon geschrieben
Gruss
Joerg
irix hat geschrieben:otta hat geschrieben:ich verbinde mich direkt mit dem ESXi Server und bekomme ständig die Fehlermeldung das mit dem Zertifikat etwas nicht in Ordnung sei, obwohl ich das Zertifikat in den vertrauenswürdigen Zertifikatsspeicher installiert habe und auch der Zertifizierungspfad als korrekt angezeigt wird.
Aber der Chain ist unterbrochen weil das Stammzertifikat von dem aus das Webserver Zertifikat ausgestellt worden ist bei dir noch nicht vorhanden ist. K.A ob VMware das irgendwo mal mit ausgeliefert hat oder ob man sich das herunterladen kann.
Die Anwendung will das nun bereits hinterlegte Zertifikat ueberpruefen, was es immer tut, und laeuft auf einen weiteren Fehler in der Form das es das Stammzertifikat nicht findet.
Ok, aber Ich könnte nun das vmware-Zertifikat mit meiner eigenen root-CA signieren, nur kann XCA (Tool um Zertifikate zu erzeugen) keinen Zertifizierungs-Request aus dem VMware Zertifikat erzeugen und es auch so nicht signieren.
Gibt es hierzu ein Lösung ?
Oder muss ich eben nun doch ein komplett neues Zertifikat erzeugen.
Gruß
otta
-
irix
- King of the Hill
- Beiträge: 13064
- Registriert: 02.08.2008, 15:06
- Wohnort: Hannover/Wuerzburg
- Kontaktdaten:
Kann ich dir auch nicht sagen. Was das Thema fehlende RootCA angeht muesste das ja eigentlich schon mal eher irgendwo aufgeschlagen sein bzw. es ist so einfach und plausibel das es nirgends schriftlich erwaehnt ist.
Aber wenn du schon eine eigene RootCA hast dann stell doch um himmelswillen ein eigenes Certifikat aus und benutze das. Hat ja auch den Vorteil das als CommonName dein richtiger Hostname verwendet wird und nicht als Name "Vmware" drin steht.
Gruss
Joerg
Aber wenn du schon eine eigene RootCA hast dann stell doch um himmelswillen ein eigenes Certifikat aus und benutze das. Hat ja auch den Vorteil das als CommonName dein richtiger Hostname verwendet wird und nicht als Name "Vmware" drin steht.
Gruss
Joerg
irix hat geschrieben:Kann ich dir auch nicht sagen. Was das Thema fehlende RootCA angeht muesste das ja eigentlich schon mal eher irgendwo aufgeschlagen sein bzw. es ist so einfach und plausibel das es nirgends schriftlich erwaehnt ist.
Aber wenn du schon eine eigene RootCA hast dann stell doch um himmelswillen ein eigenes Certifikat aus und benutze das. Hat ja auch den Vorteil das als CommonName dein richtiger Hostname verwendet wird und nicht als Name "Vmware" drin steht.
Gruss
Joerg
Hallo Jörg,
ich habe gestern mit XCA wie sonst auch eine Server Zertifkat erstellt und dieses dann auf dem ESXi Server kopiert, allerdings war danach kein Login mehr möglich. Ein Anleitung für XCA habe ich bisher nicht gefunden sondern nur für openssl.
Hat jemand eine Anleitung für XCA ?
Ansonsten installiere ich mir openssl und gehe der Anleitung nach....
Gruß
Anton
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast