Eine der wichtigsten Aufgaben bei der Installation einer neuen XenApp/XenDesktop 7 Umgebung ist es, den Zugriff auf den Hypervisor zu konfigurieren. Die von uns betreuten Umgebungen nutzen als Basis meist vmware ESXi in Verbindung mit vSphere. Weiterhin ist auch immer wieder die vSphere Appliance ein Thema.
Die Citrix Desktop Delivery Controller oder DDCs müssen dabei über https mit dem vmware vSphere Server kommunizieren. Sowohl die Appliance als auch ein vSphere Server unter Windows hat dabei ganz viele Ablageorte für Zertifikate. Nur das richtige finden ist nicht so einfach. Nachdem ich mich nun einige male durchgewühlt habe und mit den englishen Anleitungen nicht wirklich glücklich bin (wo ist die Appliance?). Schreiben wir hier nun unseren eigen Artikel dazu.
Als erstes muss darauf geachtet werden, dass der Hostname und der DNS Eintrag auf dem vSphere Server stimmen. Dann wird zumindest unter Windows auch ein korrektes „eigenes“ Zertifikat generiert.
Anmeldung zur Hostnameänderung: https://<HOSTNAME|IP>:5480
Für die Appliance kann man wie folgt ein neues Zertifikat generieren:
http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=2033338
Nun benötigt man eine Kopie des Stammzertifikates. Unter einem Windows vSphere Server findet man dieses an dieser Stelle:
C:\ProgramData\VMware\VMware VirtualCenter\SSL
Cecart.pem auf den Citrix DDC kopieren nach cacert.pem.crt umbenennen.
Bei der vSphere Appliance über winSCP verbinden und das Zertifikat unter /etc/vmware-vpx/ssl kopieren. Hier nach rui-„ca-cert.crt“ umbenennen.
Durch das Umbenennen kann das Root Zertifikat einfach angeklickt werden. Die Installation erfolgt für beide Techniken wie folgt:
Wenn es Probleme mit der Namensauflösung gibt, so kann zum Testen die URL über den Browser aufgerufen werden: https://"vCenter-SERVERNAME" Der Eintrag muss nun „grün sein“
Ansonsten hilf ein Blick in den Commonname (CN) des Zertifikates auf der Webseite:
Zu beachten ist noch der CN (Common Name) im „VMWare default certificate“. Der Name muss genau so aus dem DNS heraus erreichbar sein. Also meist „MEINSERVER.MEINEDOMÄNE.LOCAL“ Wenn nicht, dann am besten auf dem Citrix DDC einen Host Eintrag setzen oder den Namen genauso im DNS aufnehmen.
Anmerkung: 29.03.2016
Mit der aktuellen VCenter Version haben sich leider die Pfade geändert. Nun bietet habe die "Webseite" der Appliance und des vCenter Servers 6 die Möglichkeit, die Stammzertifikate zu landen.
Wann man nun auf "herunterladen" drückt, bekommt man eine Datei "download". Was hier bei der Beschreibung leider nicht steht ist, dass diese Datei ein Zip Archiv ist. Also nach "download.zip" umbenennen und auspacken.
Anschließend bekommt man einen Ordner mit dem Zertifikat und scheinbar auch mit dem privaten Schlüssel. Der größeren der beiden Dateien die Endung ".Crt" geben. Nun kann die Datei bei den "Vertrauenswürdigen Stammzertifikaten" importiert werden.