Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Zertifikate in VMware

No description
by

Markus Schmidt

on 24 September 2013

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Zertifikate in VMware

Zertifikate in VMware
...etwas Theorie
Lets get Hands on...
nicht unterstützte Services
alle anderen :(
Vielen Dank!
Fragen?
Warum überhaupt Zertifikate tauschen
...etwas Theorie
praktische Anwendung des Certificate Automation Tools
Agenda
Zertifikatsanforderung
Id Information
public Key
private Key
Zertifikats Authorität (CA)
Zertifikat
ID Information
public Key
User
Ich vertraue der
CA
Unterschreibt CSR
Übermittelt die Kette


vCenter Certificate automation Tool
Download: https://my.vmware.com/web/vmware/details?downloadGroup=SSL-TOOL-101&productId=285
Wichtige Links:
Knowledgebase: 2046100
Installieren
Konfigurieren
Ausführen
Installieren
...zip archiv auspacken
Achtung: Keine Leerzeichen im Pfad
Konfigurieren
Ausführen
Zertifikate generieren...
...lassen.
3rd Party CA
RapidSSL
Verizon
CACert
Windows CA
Hinweis 1:
Webserver Template ändern
Hinweis 2:
Im Selfservice
export als:
rui.cer - das Zertifikat
Root64.cer - das Root Zertifikat
...und installieren
Was wir haben:
wichtig: Chainfile erzeugen:
zurück zum Cert Tool...
unsere Arbeitsanleitung:
Markus Schmidt
interface systems GmbH
einreichen
vCenter Server
wichtige Dateitypen
*.key - privater Schlüssel
Fahrplan erstellen
Requests erzeugen
Zertifikate beschaffen
Zertifikate tauschen
Logs nicht vergessen:
Horizon View
Das Zertifikat in den Windows Zertifikatsspeicher importieren
Chain ist nicht notwendig
Zertifikat das Alias 'VDM' vergeben
Zertifikat erzeugen (wie eben gesehen)
ESXi Hosts
Zertifikat generieren
Host in Maintainance Mode setzen
rui.crt und rui.key in /etc/vmware/ssl ersetzen
z.B.: via winscp
Management Agents neu starten
/etc/init.d/hostd restart
/etc/init.d/vpxa restart
*.CER – DER- oder Base64-kodiertes Zertifikat
*.CRT – DER- oder Base64-kodiertes Zertifikat
*.CSR – Base64-kodierte Zertifizierungsanfrage des öffentlichen Schlüssels (plus weitere Metadaten des Besitzers)
*.DER – DER-kodiertes Zertifikat
*.P12 – Containerformat, kann öffentliche Zertifikate und private Schlüssel (Kennwort-geschützt) enthalten.
*.P7B – Containerformat, idR für Zertifikatsketten
*.PEM – Base64-kodiertes Zertifikat, oder Zertifikatskette
*.PFX – Siehe .p12
asymetrisches Kryptosystem
Zentrales Element: das Schlüsselpaar
untrennbar verbunden
gemeinsam erzeugt
public und private
Der öffentliche Schlüssel wird beliebig verteilt, der private bleibt geheim!
Woher weiß ich das der öffentliche Schlüssel der richtige ist?
die Lösung: Zertifikate
Warum Zertifikate tauschen?
saubere Außendarstellung
Sichere Authentifizierung zwischen Client & Server
Notwendige Bedingung zur Einhaltung des VMWare Hardening Guides
VMWare drängt zunehmend darauf
z.B.: permanenter Fehlerzusatnd bei Self Signed Zertifikaten
Compliance (interne Sichheitsrichtlinie)
..noch zwei Dinge...
Aliases
*.mydomain.com ist Möglich
passt zu host.mydomain.com, jedoch NICHT zu host.abteilung.mydomain.com
nicht empfohlen für Zertifikate die via Certificate Utility ausgestellt sind
die müssen eindeutig sein
Aber: Variante für ESX Zertifikate
Wildcards
mehrere Hostnamen (oder IP's) sind möglich
Full transcript