Hier eine kurze Beschreibung wie bei einer vSphere 6.7 Appliance das integrierte Zertifikat mit einem von einer Active Directory Zertifizierungstelle ausgestelltem Zertifikat ersetzt werden kann:
In dieser Beschreibung wurde als CA ein Windows Server 2016, als vSphere Appliance die Version 6.7 verwendet.
Wer möchte, kann die maximale Gültigkeit von Zertifikaten vorher noch anpassen: http://www.hoelzle.net/active-directory-ca-anpassen-der-maximal-gueltigen-zertifikatsdauer/
Erstellen des Zertifikats-Templates
Aktivieren des Zertifikat-Tamplates
Erstellen der .csr und .key Dateien
Auf der vSphere shell:
# /usr/lib/vmware-vmca/bin/certificate-manager
Auswahl von 1.) Replace Machine SSL certifiacte with Custom Certificate
Eingeben der Anmeldeinformationen für einen administrativen Benutzer
Auswahl von „1. Generate Certifiacte Signing Request….“
Eingaben gemäß dem folgenden screenshot
Es befinden sich nun zwei Dateien im oben angegeben Verzeichnis: vmca_issued_csr.csr und vmca_issued_key.key
Anfordern und austellen des Zertifikates
Aufrufen der CA WebServer-Seite mittels https://[ca-servername_oder_ip]/certsrv/
Auswahl von „Base 64 encoded“ und herunterladen beider Dateien.
Öffnen der p7b-Datei mit einem Doppelklick und exportieren des root-Zertifikate als root.cer.
Kopieren der Dateien
Sollte scp noch nicht möglich sein, hier ein Tip: VMware vCenter Appliance – scp transfer erlauben
Nun die vc1.cer und root.cer auf die vSphere-Appliance kopieren
Importieren und aktivieren der Zertifikate
Wenn der Zertifikatsmanager beendet wurde, diesen wieder starten
# /usr/lib/vmware-vmca/bin/certificate-manager
Fertig
Es dauert eine Weile bis das neue Zertifikat eingebunden wurde und die Zertifikate aktiv sind.
Wenn alles erfolgreich durchgelaufen ist, erscheint nun beim Aufruf der URL keine Zertifikatswarnmeldung mehr: