Das „SSL Certificate Automation Tool“ von VMware 5.5 unterstützt die VMware-Administration dabei, die für die VMware-Installation nötigen SSL-Zertifikate zu beantragen und zu installieren. Inbesondere erzeugt das Werkzeug die zur Zertifikatantragstellung nötigen Certificate Signing Requests (CSRs).
Allerdings akzeptieren die RA-Oberflächen und -Schnittstellen der DFN-PKI seit dem 1. November 2015 keine CSRs mehr, die interne Domain-Namen, „kurze“ Host-Namen (also Host-Namen ohne den abschließenden Domain-Anteil) oder für den privaten Gebrauch reservierte IP-Adressen beinhalten. Der Hintergrund hierfür ist eine Entscheidung des CA/Browser-Forums, über die hier schon im Beitrag Interne Domainnamen ausführlich berichtet wurde.
Da in VMware-Installationen aus verschiedenen Gründen auch gerne auf die für den privaten Gebrauch reservierten IP-Adressen (z. B. 10.x.y.z
, siehe auch RFC 1918) zurückgegriffen wird und das „SSL Certificate Automation Tool“ außerdem sowohl diese IP-Adressen als auch die kurzen Host-Namen (VMware-Terminologie „short name“) mit in die erzeugten CSRs aufnimmt, kommt es bei der Zertifikatantragstellung bei der DFN-PKI zu Fehlermeldungen über im CSR enthaltene nicht erlaubte Namen. Zertifikatanträge mit derartigen CSRs werden schon im Vorfeld aussortiert und nicht angenommen.
Je nach lokaler Situation kann nun das zum „SSL Certificate Automation Tool“ gehörende Skript ./tools/generate-cdr.bat
dahingehend angepasst werden, dass die erzeugten CSRs wieder in Zertifikatanträgen angenommen werden.
Im Skript generate-cdr.bat
muss die Zeile 33 (Stand: Version 5.5)
echo subjectAltName = IP:%gen_cert_server_ip%, DNS:%gen_cert_server_short_name%, DNS:%gen_cert_server_fqdn% >> %csr_config_file_name%
folgendermaßen angepasst werden:
In jedem Fall muss der Teil DNS:%gen_cert_server_short_name%,
entfernt werden, damit keine kurzen Host-Namen mehr in die erzeugten CSRs aufgenommen werden.
Falls die VMware-Server IP-Adressen aus den für den privaten Gebrauch reservierten IP-Adressbereichen benutzen, so muss ebenfalls der Teil IP:%gen_cert_server_ip%,
aus der Zeile entfernt werden, damit diese IP-Adressen nicht mehr in die erzeugten CSRs aufgenommen werden.
In letzterem Fall sieht die geänderte Zeile 33 im Skript generate-cdr.bat
dann wie folgt aus:
echo subjectAltName = DNS:%gen_cert_server_fqdn% >> %csr_config_file_name%
(rkm, 23.11.2015)