Die Foren-SW läuft ohne erkennbare Probleme. Sollte doch etwas nicht funktionieren, bitte gerne hier jederzeit melden und wir kümmern uns zeitnah darum. Danke!

Let’s Encrypt zert. in vSphere nutzten?

Alles zum Thema vSphere 6, ESXi 6.0 und vCenter Server.

Moderatoren: irix, continuum, Dayworker

Member
Beiträge: 119
Registriert: 19.01.2009, 15:54

Let’s Encrypt zert. in vSphere nutzten?

Beitragvon Conan » 04.12.2015, 16:11

Guten Tag zusammen.

Hat jemand schonmal ein "Let’s Encrypt" ssl zertifkat im Vspere genutzt?

King of the Hill
Beiträge: 13331
Registriert: 01.10.2008, 12:54
Wohnort: laut USV-Log am Ende der Welt...

Beitragvon Dayworker » 04.12.2015, 16:41

Nein, aber das dürfte sich über einen Helfer-Rechner zwecks Python als "certonly" sicherlich realisieren lassen. Man muß dann halt nur rechtzeitig dran denken, das Zertifikat regelmäßig im Quartalsmodus zu erneuern.

Member
Beiträge: 119
Registriert: 19.01.2009, 15:54

Beitragvon Conan » 12.12.2015, 15:43

ok, ich würde gern es ausprobieren, hast du eine anleitung zufällig schon gesehen?

Experte
Beiträge: 1004
Registriert: 30.10.2004, 12:41

Beitragvon mbreidenbach » 12.12.2015, 16:27

Auch wenn es die Frage nicht dierekt beantwortet . Lesestoff bezüglich vSphere Zertifikaten gibts u.a. hier:

http://www.derekseaman.com/

Für den 'Hausgebrauch' würde ich die CA vom PSC verwenden und die auf den Rechnern die vSphere Clients starten als vertrauenswürdig eintragen. Den Rest macht der PSC.

Man kann die CA vom PSC ja auch als Subordinate CA registrieren (wenn man eine eigene CA hat).

In 'sicherheitskritischen' Umgebungen wird man vermutlich mit spitzen Gegenständen beworfen wenn man sowas vorschlägt da darf man dann wohl alle Zertifikate zu Fuß austauschen.

Guru
Beiträge: 2938
Registriert: 27.12.2004, 22:17

Re: Let’s Encrypt zert. in Vspere nutzten?

Beitragvon rprengel » 12.12.2015, 17:21

Conan hat geschrieben:Guten Tag zusammen.

Hat jemand schonmal ein "Let’s Encrypt" ssl zertifkat im Vspere genutzt?


Hallo,
Nach meinem Stand sind die Zertifikate 90 Tage gültig.
Privat mag das ok sein aber im Profiumfeld ist das Thema damit durch,

Gruss

King of the Hill
Beiträge: 12569
Registriert: 02.08.2008, 15:06
Wohnort: Hannover/Wuerzburg
Kontaktdaten:

Beitragvon irix » 12.12.2015, 21:34

Je nach Umgebung ist es ja nicht nur ein Zertifikat sondern eine hohe Anzahl und somit indiskutabel diese alle 90 Tage auszutauschen. Ich kenne auch keine Kunden welche offizielle CAs verwendet ausser wo diese Services fuer externe Kunden anbieten so ala vCD. Alle anderen verwenden eine interne Windows CA welche die Certs ausstellt und die RootCa wird per AD verteilt.

Ich kann nun nicht fuer Let`s Encrypt sprechen aber fuer die anderen Haupt CAs gilt das diese jetzt oder in naher Zukunft keine Certs mehr fuer vCenter & Co. ausstellen. In einer der ReleaseNotes oder aber in einem CVS steht das dies damit zusammenhaengt das VMware die SubAltNames vorraussetzt und dort div. Identitiaeten mit priv. IPs hinterlegt was dem Gedanken wiederspricht eigentlich sicher zustellen das man da mit "einem" Service verbunden ist.

Ich muesste es heraussuchen aber ich habe es die Tage erst gelesen.

Gruss
Joerg

King of the Hill
Beiträge: 12569
Registriert: 02.08.2008, 15:06
Wohnort: Hannover/Wuerzburg
Kontaktdaten:

Beitragvon irix » 12.12.2015, 21:39

Auszug von http://kb.vmware.com/kb/1008390 und anderen VMware KBs:

IMPORTANT
Public CAs stopped issuing SSL/TLS certificates that contain internal server names or reserved IP addresses in November 2015. CAs will revoke SSL/TLS certificates that contain internal server names or reserved IP addresses on 1st October 2016. To minimize future disruption, if you use SSL/TLS certificates that contain internal server names or reserved IP addresses, obtain new, compliant certificates from a private CA before 1st October 2016.

For information about the deprecation of internal server names and reserved IP addresses, see https://cabforum.org/internal-names/.

King of the Hill
Beiträge: 13331
Registriert: 01.10.2008, 12:54
Wohnort: laut USV-Log am Ende der Welt...

Beitragvon Dayworker » 13.12.2015, 07:33

Die 90 Tage sehe ich prinzipiell nicht als Problem an. Die Zeitspanne könnte und wird zukünftig sogar noch kürzer werden, wenn die offene Beta-Phase vorüber ist... Wenn man jedoch Zertifikate manuell einpflegen muß, wirds echt nervig und wenn ich mich recht erinnere, ist nach einem Cert-Wechsel auch ein Restart zur Übernahme der neuen Certs notwendig.

Was die Abkündigung der Verwendung interner Servernamen und reservierter IP-Adressen angeht, sind die Gründe die Öffnung der ICANN für weitere generische TLDs und die mögliche Freigabe der IANA von bisher reservierten IP-Adressen.

Member
Beiträge: 119
Registriert: 19.01.2009, 15:54

Beitragvon Conan » 13.12.2015, 17:58

eingentlch bräuchte ich nur 2 zert. Eins für den vspere an sich, das andere für das vcsa.
welches wäre die bssere möglichkeit für mich?

King of the Hill
Beiträge: 12569
Registriert: 02.08.2008, 15:06
Wohnort: Hannover/Wuerzburg
Kontaktdaten:

Beitragvon irix » 13.12.2015, 18:31

Conan hat geschrieben:eingentlch bräuchte ich nur 2 zert. Eins für den vspere an sich, das andere für das vcsa.
welches wäre die bssere möglichkeit für mich?


Dann nimmt die VMCA und importiere deren RootCA auf deinem PC/Zertifikatsspeicher und gut ist.

Gruss
Joerg

Member
Beiträge: 119
Registriert: 19.01.2009, 15:54

Beitragvon Conan » 18.12.2015, 18:42

ok und wie mache ich das genau?

King of the Hill
Beiträge: 12569
Registriert: 02.08.2008, 15:06
Wohnort: Hannover/Wuerzburg
Kontaktdaten:

Beitragvon irix » 18.12.2015, 19:23

Conan hat geschrieben:ok und wie mache ich das genau?


http://kb.vmware.com/kb/2097936

Der 2. Schritt haengt davon ab welchen Lieblingsbrowser du hast. Der IE nimmt den Windows Zertifikatsspeicher und FF hat seinen eigenen. Bei Chrome muesste ich nachgucken.

Gruss
Joerg

King of the Hill
Beiträge: 13331
Registriert: 01.10.2008, 12:54
Wohnort: laut USV-Log am Ende der Welt...

Beitragvon Dayworker » 19.12.2015, 14:35

Chrome nutzt meines Wissens wie der IE immer noch den Windows-Zertifikatsspeicher.


Zurück zu „vSphere 6.0“

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 2 Gäste