vSphere 6.7 mit AD generiertem Zertifikat

Hier eine kurze Beschreibung wie bei einer vSphere 6.7 Appliance das integrierte Zertifikat mit einem von einer Active Directory Zertifizierungstelle ausgestelltem Zertifikat ersetzt werden kann:
In dieser Beschreibung wurde als CA ein Windows Server 2016, als vSphere Appliance die Version 6.7 verwendet.
Wer möchte, kann die maximale Gültigkeit von Zertifikaten vorher noch anpassen: http://www.hoelzle.net/active-directory-ca-anpassen-der-maximal-gueltigen-zertifikatsdauer/

Erstellen des Zertifikats-Templates

Aktivieren des Zertifikat-Tamplates

Erstellen der .csr und .key Dateien

Auf der vSphere shell:

# /usr/lib/vmware-vmca/bin/certificate-manager

Auswahl von 1.) Replace Machine SSL certifiacte with Custom Certificate
Eingeben der Anmeldeinformationen für einen administrativen Benutzer
Auswahl von „1. Generate Certifiacte Signing Request….“

Eingaben gemäß dem folgenden screenshot

Es befinden sich nun zwei Dateien im oben angegeben Verzeichnis: vmca_issued_csr.csr und vmca_issued_key.key

Anfordern und austellen des Zertifikates

Aufrufen der CA WebServer-Seite mittels https://[ca-servername_oder_ip]/certsrv/

Auswahl von „Base 64 encoded“ und herunterladen beider Dateien.

Öffnen der p7b-Datei mit einem Doppelklick und exportieren des root-Zertifikate als root.cer.

Kopieren der Dateien

Sollte scp noch nicht möglich sein, hier ein Tip: VMware vCenter Appliance – scp transfer erlauben
Nun die vc1.cer und root.cer auf die vSphere-Appliance kopieren

Importieren und aktivieren der Zertifikate

Wenn der Zertifikatsmanager beendet wurde, diesen wieder starten

# /usr/lib/vmware-vmca/bin/certificate-manager

Fertig

Es dauert eine Weile bis das neue Zertifikat eingebunden wurde und die Zertifikate aktiv sind.
Wenn alles erfolgreich durchgelaufen ist, erscheint nun beim Aufruf der URL keine Zertifikatswarnmeldung mehr: