Guten Tag zusammen.
Hat jemand schonmal ein "Let’s Encrypt" ssl zertifkat im Vspere genutzt?
Die Foren-SW läuft ohne erkennbare Probleme. Sollte doch etwas nicht funktionieren, bitte gerne hier jederzeit melden und wir kümmern uns zeitnah darum. Danke!
Let’s Encrypt zert. in vSphere nutzten?
-
mbreidenbach
- Experte
- Beiträge: 1006
- Registriert: 30.10.2004, 12:41
Auch wenn es die Frage nicht dierekt beantwortet . Lesestoff bezüglich vSphere Zertifikaten gibts u.a. hier:
http://www.derekseaman.com/
Für den 'Hausgebrauch' würde ich die CA vom PSC verwenden und die auf den Rechnern die vSphere Clients starten als vertrauenswürdig eintragen. Den Rest macht der PSC.
Man kann die CA vom PSC ja auch als Subordinate CA registrieren (wenn man eine eigene CA hat).
In 'sicherheitskritischen' Umgebungen wird man vermutlich mit spitzen Gegenständen beworfen wenn man sowas vorschlägt da darf man dann wohl alle Zertifikate zu Fuß austauschen.
http://www.derekseaman.com/
Für den 'Hausgebrauch' würde ich die CA vom PSC verwenden und die auf den Rechnern die vSphere Clients starten als vertrauenswürdig eintragen. Den Rest macht der PSC.
Man kann die CA vom PSC ja auch als Subordinate CA registrieren (wenn man eine eigene CA hat).
In 'sicherheitskritischen' Umgebungen wird man vermutlich mit spitzen Gegenständen beworfen wenn man sowas vorschlägt da darf man dann wohl alle Zertifikate zu Fuß austauschen.
Re: Let’s Encrypt zert. in Vspere nutzten?
Conan hat geschrieben:Guten Tag zusammen.
Hat jemand schonmal ein "Let’s Encrypt" ssl zertifkat im Vspere genutzt?
Hallo,
Nach meinem Stand sind die Zertifikate 90 Tage gültig.
Privat mag das ok sein aber im Profiumfeld ist das Thema damit durch,
Gruss
-
irix
- King of the Hill
- Beiträge: 12944
- Registriert: 02.08.2008, 15:06
- Wohnort: Hannover/Wuerzburg
- Kontaktdaten:
Je nach Umgebung ist es ja nicht nur ein Zertifikat sondern eine hohe Anzahl und somit indiskutabel diese alle 90 Tage auszutauschen. Ich kenne auch keine Kunden welche offizielle CAs verwendet ausser wo diese Services fuer externe Kunden anbieten so ala vCD. Alle anderen verwenden eine interne Windows CA welche die Certs ausstellt und die RootCa wird per AD verteilt.
Ich kann nun nicht fuer Let`s Encrypt sprechen aber fuer die anderen Haupt CAs gilt das diese jetzt oder in naher Zukunft keine Certs mehr fuer vCenter & Co. ausstellen. In einer der ReleaseNotes oder aber in einem CVS steht das dies damit zusammenhaengt das VMware die SubAltNames vorraussetzt und dort div. Identitiaeten mit priv. IPs hinterlegt was dem Gedanken wiederspricht eigentlich sicher zustellen das man da mit "einem" Service verbunden ist.
Ich muesste es heraussuchen aber ich habe es die Tage erst gelesen.
Gruss
Joerg
Ich kann nun nicht fuer Let`s Encrypt sprechen aber fuer die anderen Haupt CAs gilt das diese jetzt oder in naher Zukunft keine Certs mehr fuer vCenter & Co. ausstellen. In einer der ReleaseNotes oder aber in einem CVS steht das dies damit zusammenhaengt das VMware die SubAltNames vorraussetzt und dort div. Identitiaeten mit priv. IPs hinterlegt was dem Gedanken wiederspricht eigentlich sicher zustellen das man da mit "einem" Service verbunden ist.
Ich muesste es heraussuchen aber ich habe es die Tage erst gelesen.
Gruss
Joerg
-
irix
- King of the Hill
- Beiträge: 12944
- Registriert: 02.08.2008, 15:06
- Wohnort: Hannover/Wuerzburg
- Kontaktdaten:
Auszug von http://kb.vmware.com/kb/1008390 und anderen VMware KBs:
IMPORTANT
Public CAs stopped issuing SSL/TLS certificates that contain internal server names or reserved IP addresses in November 2015. CAs will revoke SSL/TLS certificates that contain internal server names or reserved IP addresses on 1st October 2016. To minimize future disruption, if you use SSL/TLS certificates that contain internal server names or reserved IP addresses, obtain new, compliant certificates from a private CA before 1st October 2016.
For information about the deprecation of internal server names and reserved IP addresses, see https://cabforum.org/internal-names/.
IMPORTANT
Public CAs stopped issuing SSL/TLS certificates that contain internal server names or reserved IP addresses in November 2015. CAs will revoke SSL/TLS certificates that contain internal server names or reserved IP addresses on 1st October 2016. To minimize future disruption, if you use SSL/TLS certificates that contain internal server names or reserved IP addresses, obtain new, compliant certificates from a private CA before 1st October 2016.
For information about the deprecation of internal server names and reserved IP addresses, see https://cabforum.org/internal-names/.
-
Dayworker
- King of the Hill
- Beiträge: 13561
- Registriert: 01.10.2008, 12:54
- Wohnort: laut USV-Log am Ende der Welt...
Die 90 Tage sehe ich prinzipiell nicht als Problem an. Die Zeitspanne könnte und wird zukünftig sogar noch kürzer werden, wenn die offene Beta-Phase vorüber ist... Wenn man jedoch Zertifikate manuell einpflegen muß, wirds echt nervig und wenn ich mich recht erinnere, ist nach einem Cert-Wechsel auch ein Restart zur Übernahme der neuen Certs notwendig.
Was die Abkündigung der Verwendung interner Servernamen und reservierter IP-Adressen angeht, sind die Gründe die Öffnung der ICANN für weitere generische TLDs und die mögliche Freigabe der IANA von bisher reservierten IP-Adressen.
Was die Abkündigung der Verwendung interner Servernamen und reservierter IP-Adressen angeht, sind die Gründe die Öffnung der ICANN für weitere generische TLDs und die mögliche Freigabe der IANA von bisher reservierten IP-Adressen.
-
irix
- King of the Hill
- Beiträge: 12944
- Registriert: 02.08.2008, 15:06
- Wohnort: Hannover/Wuerzburg
- Kontaktdaten:
Conan hat geschrieben:ok und wie mache ich das genau?
http://kb.vmware.com/kb/2097936
Der 2. Schritt haengt davon ab welchen Lieblingsbrowser du hast. Der IE nimmt den Windows Zertifikatsspeicher und FF hat seinen eigenen. Bei Chrome muesste ich nachgucken.
Gruss
Joerg
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 7 Gäste