VMware-Forum

Hallo zusammen,

ich habe eine Testumgebung mit zwei ESX 4.1 erstellt und benutze noch die 60 Tage Testlizenz. Jetzt muss ich für ein Projekt einige Sachen mit bestimmten Zertifikaten testen. Könnt ihr mir vielleicht sagen, wie ich auf einem ESX Server einen Request erstellen kann?

Der Request muss nicht auf dem Geraet erstellt fuer den das Zert ist.

VMware hat einen Guide was den Zertikatsaustausch angeht.

Gruss
Joerg

Es handelt sich dabei um ein Wildcard Zertifikat. Und dafür muss der Request nicht auf VM, sondern auf dem ESX erstellt werden.

gregor81 hat geschrieben:Es handelt sich dabei um ein Wildcard Zertifikat. Und dafür muss der Request nicht auf VM, sondern auf dem ESX erstellt werden.

Kann ich nicht nachvollziehen. Natuerlich werden Key und Certikat dann hinterher auf den Zielhost kopiert.

Ich habe eine Kiste wo ich alle Zerts erstelle bzw. im VMware Dokument wird beschrieben wie man es unter Windows mithilfe von OpenSSL macht.

Ob ich nun host.example.com oder *.example.com dann nehme macht ja den Kohl nicht fett. Der unterschied ist nur der Preis bei dem welcher es unterschreibt


Gruss
Joerg

Es ist ein Zertifikat, welches ich auf den ESX erstelle und das gilt dann auch für alle VMs. Aber dafür brauchen die von mir einen Request vom ESX Server.
Hast du für Guide von VMware einen Link für mich?

gregor81 hat geschrieben:Es ist ein Zertifikat, welches ich auf den ESX erstelle und das gilt dann auch für alle VMs. Aber dafür brauchen die von mir einen Request vom ESX Server.
Hast du für Guide von VMware einen Link für mich?

Der Link ist http://www.vmware.com/pdf/vsp_4_vcserve ... icates.pdf . Allerdings, sofern er nicht geaendert wurde, beschreibt er nicht wie man auf einem ESX die Zert erstellt sondern nur FUER EINEN (und anderen Kram).

Ich wiederhole mich darum das es nicht wichtig ist wo man das Zert erstellt. Keine Frage ist das es bequem sein kann es an Ort und Stelle zumachen.... aber notwendig bzw. technisch moeglich ist es ja garnicht immer.

Gruss
Joerg

Aber ein Zertifikat wird doch für eine Maschine gemacht und muss man doch immer erste einen Request der Maschine machen, diese Sache ndann zu der "Zertifikatsstelle" schicken, die dann daraus ein Zertifikat bauen, oder?

Hi,
das ist falsch! Wie Joerg schon geschrieben hat kann man eine Request auf einer beliebigen Maschiene machen. Man muss den Request bei erstellen halt für die Maschine austellen. Bzw. in deinem Fall für ein Wildcard Zertifikat!

Am einfachsten finde ich geht das mit OpenSSL.

Ich stelle alle unsere Serverzertifikate auf meinem Arbeitsplatzrechner her und schick die Requests dann an die Zertifizierungsstelle. Fertisch!


Gruß Peter

P.S. Nein ich ändere nicht die Zertifikate im ESX ist mir zu viel gefummel und bringt auch nichts.

Ich bin auch der Auffassung, dass es den Aufwand nicht wert ist, die ESXe mit "anständigen" Zertfikaten zu versehen. Auf Servern mit "Publikumsverkehr" sollten die Zertifikate in Ordnung sein, aber da sich auf die ESXe eh nur Admins verbinden, die die technischen Hintergründe von selbstgebratenen Zertifikaten kennen...

Georg.

PeterDA hat geschrieben:Ich stelle alle unsere Serverzertifikate auf meinem Arbeitsplatzrechner her und schick die Requests dann an die Zertifizierungsstelle. Fertisch!
.

Und wie genau machst du das?
Kann ich das auch auf einer Linux Maschine machen?

Ja kannst du. Ich kenne nur den Windows CERTmgr oder OpenSSL. Letzteres kann nun unter Linux/Unix oder Windows laufen. Das PDF beschreibt OpenSSL unter Windows.

Gruss
Joerg

Muss als FQDN die Domäne oder der jeweilige Hostname des ESX?

gregor81 hat geschrieben:Muss als FQDN die Domäne oder der jeweilige Hostname des ESX?

Als CN muss der Name angegeben werden welchen man spaeter benutzen will. Das wird "meinesx.example.com" sein. Nur dann gibts keine Zertifikatswarnungen.

Wenn du dir wirklich Multi Certs signieren lassen willst dann wird dir deine Registry auch Anleitungen zur Verfuegung stellen. Mein InstantSSL/Comodo macht das, aber mittlerweile kann ich das auch Rueckwaerts singen und das im Halbschlaf

Gruss
Joerg

Hi,
ich mach das mit OpenSSL. Wie man das allerdings mit Wildcards macht muss ich passen. Da bei meiner Zertifizierungsstelle Wildcards nicht zulässig sind.

Ich denke du musst hier vorallem bei der Zertifizierungsstelle nachfragen in welchen Format es dne Request benötigt. Gibt da doch so einige Standardformate....

Gruß Peter