Handbuch zur Serverkonfiguration für ESX - VMware
Handbuch zur Serverkonfiguration für ESX - VMware
Handbuch zur Serverkonfiguration für ESX - VMware
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Kapitel 13 Authentifizierung und Benutzerverwaltung<br />
Weiter<br />
1 Hängen Sie das Profil an die Hosts an, wie unter „Anhängen von Elementen über den Host“, auf Seite 250<br />
beschrieben.<br />
2 Wenden Sie das Profil an die Hosts an, wie unter „Anwenden eines Profils über den Host“, auf Seite 251<br />
beschrieben.<br />
Verschlüsselungs- und Sicherheitszertifikate <strong>für</strong> <strong>ESX</strong><br />
<strong>ESX</strong> unterstützt SSL, Version 3, und TLS, Version 1, die anschließend als SSL (Secure Socket Layer) bezeichnet<br />
werden. Bei aktiviertem SSL sind die Daten vertraulich, geschützt und können nicht unbemerkt bei der Übertragung<br />
geändert werden.<br />
Sämtlicher Netzwerkdatenverkehr wird verschlüsselt, solange die folgenden Bedingungen gelten:<br />
• Der Web-Proxy-Dienst wurde nicht so geändert, dass er unverschlüsselten Datenverkehr <strong>für</strong> den Port<br />
durchlässt.<br />
• Bei der Firewall der Servicekonsole wurde die mittlere oder hohe Sicherheit eingestellt.<br />
Die Hostzertifikatsüberprüfung ist standardmäßig aktiviert. Für die Verschlüsselung des Netzwerkverkehrs<br />
werden SSL-Zertifikate verwendet. <strong>ESX</strong> verwendet jedoch automatisch generierte Zertifikate, die als Teil des<br />
Installationsprozesses erstellt und auf dem Host gespeichert werden. Zwar sind diese Zertifikate eindeutig<br />
und ermöglichen die Verwendung des Servers, sie können jedoch nicht verifiziert werden und wurden nicht<br />
von einer bekannten, vertrauenswürdigen Zertifizierungsstelle (CA) signiert. Diese Standardzertifikate sind<br />
anfällig <strong>für</strong> mögliche Man-in-the-Middle-Angriffe.<br />
Um die Vorteile der Zertifikatsüberprüfung voll nutzen zu können, insbesondere, wenn Sie vorhaben, verschlüsselte<br />
Remoteverbindungen extern zu verwenden, installieren Sie neue Zertifikate, die von einer gültigen<br />
internen Zertifizierungsstelle (CA) signiert wurden, oder erwerben Sie ein Zertifikat von einer vertrauenswürdigen<br />
Zertifizierungsstelle.<br />
HINWEIS Bei Verwenden des selbst signierten Zertifikats erhalten Clients eine Warnmeldung zum Zertifikat.<br />
Um dieses Problem zu beheben, installieren Sie ein von einer anerkannten Zertifizierungsstelle signiertes Zertifikat.<br />
Wenn keine von einer CA signierten Zertifikate installiert sind, wird die gesamte Kommunikation<br />
zwischen vCenter Server und den vSphere-Clients mit einem selbst signierten Zertifikat verschlüsselt. Diese<br />
Zertifikate bieten nicht die <strong>für</strong> eine Produktionsumgebung möglicherweise erforderliche Authentifizierungssicherheit.<br />
Der Standardspeicherort <strong>für</strong> das Zertifikat ist /etc/vmware/ssl/ auf dem <strong>ESX</strong>-Host. Das Zertifikat besteht aus<br />
zwei Dateien: dem Zertifikat selbst (rui.crt) und der persönlichen Schlüsseldatei (rui.key).<br />
Aktivieren der Überprüfung von Zertifikaten und Host-Fingerabdrücken<br />
Die Zertifikatüberprüfung ist standardmäßig aktiviert, um Man-in-the-Middle-Angriffe zu verhindern und<br />
sämtliche Sicherheitsfunktionen der Zertifikate zu verwenden. Sie können prüfen, ob die Zertifikatüberprüfung<br />
im vSphere-Client aktiviert ist.<br />
HINWEIS vCenter Server-Zertifikate bleiben bei Upgrades erhalten.<br />
Vorgehensweise<br />
1 Melden Sie sich mit dem vSphere-Client bei einem vCenter Server-System an.<br />
2 Wählen Sie [Verwaltung] > [vCenter Server-Einstellungen] .<br />
3 Klicken Sie im linken Bildschirmbereich auf [SSL-Einstellungen] und überprüfen Sie, dass [Hostzertifikate<br />
prüfen] ausgewählt ist.<br />
<strong>VMware</strong>, Inc. 205