Zertifikat Archives - Seite 2 von 3

11. April 201412. April 2014

VMware Dienste und der Heartbleed Bug

Zahlreiche vSphere Dienste verwenden für die gesicherte Kommunikation OpenSSL Zertifikate. Einige produkte sind vom kürzlich veröffentlichten Heartbleed Bug betroffen. Unter KB 2076225 werden alle derzeit betroffenen Produkte aufgelistet.

Betroffen sind alle neueren Produkte, da für deren Zertifikate die OpenSSL Library ab Version 1.0.1 verwendet wurde. Ältere Zertifikate, die mit Version 0.9.8 erzeugt wurden sind nicht betroffen.

19. Februar 201421. August 2015

ESXi 5.5 Host Zertifikat aktualisieren

Passende Zertifikate – auch wenn sie nicht vetrauenswürdig signiert sind – sind wichtig für die Kommunikation der Hosts innerhalb des HA-Clusters. Ich schrieb vor einiger Zeit über das Verfahren zur Generierung von selbst signierten Host Zertifikaten bei ESXi. Das Prinzip ist gleich, man muss unter ESXi 5.5 jedoch einen Zusatzschritt einbauen.

Generate-Certificates

SSH auf Host aktivieren
SSH Client (Putty oder ähnlich) auf Host verbinden
Skript ausführen (vgl. unten)

Bei Ausführung des Skriptes erhält man eine Warnung wie unten dargestellt und die Zertifikate werden nicht erneuert. Im beobachteten Fall lautete es weiterhin auf localhost.localdomain.

# /sbin/generate-certificates
WARNING: can't open config file: /etc/pki/tls/openssl.cnf

„ESXi 5.5 Host Zertifikat aktualisieren“ weiterlesen

20. Juli 201320. Dezember 2015

ESX 5.0 CA Zerifikate erneuern

Die Standardinstallation von ESXi verwendet selbst-signierte Zertifikate. Bei Verwendung eigener CA signieter Zertifikate kommt es nach dem Upgrade auf vSphere 5 zu Problemen mit HA.

Zwei sehr gute Blogartikel behandeln die Problematik:

Gemini Security Solutions – Updating VMware vCenter and ESXi
Long White Virtual Clouds – The Trouble with CA SSL Certificates and ESXi 5

16. November 2012

vSphere5 – ESXi Host SSL Fingerprint

Im vCenter sah ich einen der ESXi Hosts im Status “disconnected”, jedoch alle VMs dieses Hosts waren erreichbar. Der Grund war schnell gefunden. Ich hatte vergessen, die 64 Tage Demolizenz auf die echte Lizenz umzustellen.

Administration > vCenter Settings > Licensing

HA Fehler

Nach der Umstellung versuchte ich den Host neu zu verbinden und erhielt diese Fehlermeldung.

vSphere HA Cannot be configured on this host because its SSL thumbprint has not been verified.

Etwas mit den SSL Einstellungen des Hosts schien nicht in Ordnung zu sein.

Bei allen Hosts in der Liste muss der Haken “Verified” gesetzt sein. Danach den Host trennen (nicht entfernen!) und wieder verbinden.

Die Echtheit des Fingerprints kann direkt überprüft werden, indem man ihn mit dem SSL Fingerprint am DCUI (ESX Konsole) vergleicht.

vSphere 5.1

Ab vCenter Version 5.1 gibt es keine SSL Settings mehr in den vCenter Einstellungen.

Links

the Hyperadvisor – vSphere HA cannot be configured on the host because of its SSL

vmware KB 2006210