Zertifikatüberprüfung
Wenn die Zertifikatüberprüfung für einen Pool aktiviert ist, verwenden alle TLS-Kommunikationsendpunkte in ihrem Verwaltungsnetzwerk Zertifikate, um die Identität ihrer Peers zu überprüfen, bevor vertrauliche Informationen übertragen werden.
Ergebnis
Verbindungen, die von einem XenServer-Host im Verwaltungsnetzwerk initiiert wurden, erfordern, dass der Zielendpunkt ein TLS-Zertifikat zur Überprüfung seiner Identität bereitstellt. Diese Anforderung wirkt sich auf die folgenden Elemente aus, die Teil des Pools sind oder mit dem Pool interagieren:
- Gastgeber im Pool
- XenCenter
- Drittanbieter-Clients, die die API verwenden
Die Zertifikatsüberprüfung ist sowohl mit den von XenServer bereitgestellten selbstsignierten Zertifikaten als auch mit vom Benutzer installierten Zertifikaten kompatibel, die von einer vertrauenswürdigen Stelle signiert wurden. Weitere Informationen finden Sie unter Installieren eines TLS-Zertifikats auf Ihrem Host.
Jeder XenServer-Host in einem Pool hat zwei Zertifikate, die ihn identifizieren:
-
Poolinterne Identitätszertifikate werden verwendet, um die Kommunikation zwischen Hosts innerhalb des Pools zu sichern. Für die Kommunikation innerhalb des Pools verwendet XenServer immer selbstsignierte Zertifikate.
-
Serveridentitätszertifikate werden verwendet, um die Identität eines XenServer-Hosts für alle Clientanwendungen zu überprüfen, die mit dem Pool im Verwaltungsnetzwerk kommunizieren. Für die Kommunikation zwischen dem Host und einer Client-Anwendung können Sie selbstsignierte Zertifikate verwenden oder Sie können Ihre eigenen TLS-Zertifikate auf Ihren Hosts installieren.
Wenn ein Host dem Pool zum ersten Mal beitritt oder ein Client zum ersten Mal eine Verbindung zum Pool herstellt, vertraut der Pool der Verbindung. Während dieser ersten Verbindung werden Zertifikate zwischen dem Pool und dem beitretenden Host oder dem verbindenden Client ausgetauscht. Für alle nachfolgenden Kommunikationen dieses Hosts oder Clients im Verwaltungsnetzwerk werden die Zertifikate verwendet, um die Identität der an der Kommunikation beteiligten Parteien zu überprüfen.
Wir empfehlen Ihnen, die Zertifikatsüberprüfung für alle Ihre Hosts und Pools zu aktivieren. Damit ein XenServer-Host erfolgreich einem Pool beitreten kann, muss sowohl für den Host als auch für den Pool die Zertifikatsüberprüfung aktiviert oder deaktiviert sein. Wenn die Zertifikatsüberprüfung auf dem einen aktiviert ist und auf dem anderen nicht, ist der Verbindungsvorgang nicht erfolgreich. XenCenter zeigt eine Warnmeldung an, in der Sie aufgefordert werden, die Zertifikatsüberprüfung im Pool oder auf dem beitretenden Host zu aktivieren.
Wenn ein Host einen Pool mit aktivierter Zertifikatsüberprüfung verlässt, löschen sowohl der Host als auch der Pool die Zertifikate, die sich auf den anderen Host beziehen.
Die virtuelle Workload Balancing Balancing-Appliance kann mit der Zertifikatsüberprüfung verwendet werden. Sie müssen sicherstellen, dass die selbstsignierten Workload Balancing Balancing-Zertifikate auf Ihrem XenServer-Host installiert sind.
Die virtuelle XenServer Conversion Manager Manager-Appliance stellt keine Verbindung zu XenServer-Hosts her und ist daher von der Zertifizierungsprüfungspflicht ausgenommen, wenn sie als TLS-Client-Endpunkt fungiert.
Zertifikatsüberprüfung für Ihren Pool aktivieren
Die Zertifikatsüberprüfung ist bei Neuinstallationen von XenServer 8 und höher standardmäßig aktiviert. Wenn Sie ein Upgrade von einer früheren Version von XenServer oder Citrix Hypervisor durchführen, wird die Zertifikatsüberprüfung nicht automatisch aktiviert und Sie müssen sie aktivieren. XenCenter fordert Sie auf, die Zertifikatsüberprüfung zu aktivieren, wenn Sie das nächste Mal eine Verbindung zum aktualisierten Pool herstellen.
Bevor Sie die Zertifikatüberprüfung für einen Pool aktivieren, stellen Sie sicher, dass keine Vorgänge im Pool ausgeführt werden.
Mithilfe von XenCenter aktivieren
XenCenter bietet verschiedene Möglichkeiten, die Zertifikatsüberprüfung zu aktivieren.
-
Wenn Sie XenCenter zum ersten Mal mit einem Pool ohne aktivierte Zertifikatsüberprüfung verbinden, werden Sie aufgefordert, ihn zu aktivieren. Klicken Sie auf Ja, Zertifikatsüberprüfung aktivieren.
-
Wählen Sie im Menü Pool die Option Zertifikatüberprüfung aktivierenaus.
-
Klicken Sie auf der Registerkarte Allgemein des Pools mit der rechten Maustaste auf den Eintrag Zertifikatüberprüfung, und wählen Sie im Menü die Option Zertifikatüberprüfung aktivieren .
Aktivieren mit der xe-CLI
Um die Zertifikatsüberprüfung für einen Pool zu aktivieren, führen Sie den folgenden Befehl in der Konsole eines Hosts im Pool aus:
xe pool-enable-tls-verification
Verwaltung von Zertifikaten
Sie können die Zertifikate, die zur Überprüfung der Identität eines Hosts verwendet werden, installieren, Informationen darüber anzeigen und sie zurücksetzen.
Installieren von Zertifikaten
Sie können Ihr eigenes TLS-Zertifikat installieren, das der Host als Identitätszertifikat verwendet, wenn er Verbindungen von Client-Anwendungen im Verwaltungsnetzwerk empfängt.
Weitere Informationen finden Sie unter Installieren eines TLS-Zertifikats auf Ihrem Host.
Zertifikatsinformationen anzeigen
So ermitteln Sie, ob für einen Pool die Zertifikatsprüfung aktiviert ist:
-
Suchen Sie in XenCenter auf der Registerkarte Allgemein nach dem Pool. Der Abschnitt Allgemein enthält einen Eintrag für die Zertifikatsüberprüfung, der anzeigt, ob die Zertifikatsüberprüfung aktiviert oder deaktiviert ist. Diese Registerkarte enthält auch einen Abschnitt Zertifikate, in dem der Name, die Gültigkeit und der Fingerabdruck der CA-Zertifikate aufgeführt sind.
-
Mit der xe-CLI können Sie den folgenden Befehl ausführen:
xe pool-param-get uuid=<pool_uuid> param-name=tls-verification-enabled
Wenn die Zertifikatüberprüfung aktiviert ist, wird die Zeile
tls-verification-enabled ( RO): true
in der Befehlsausgabe angezeigt.
So zeigen Sie Informationen zu den Zertifikaten auf einem XenServer-Host an:
-
Gehen Sie in XenCenter zur Registerkarte Allgemein für diesen Host. Im Abschnitt Zertifikate werden der Fingerabdruck und die Gültigkeitsdaten für das Serveridentitätszertifikat und das poolinterne Identitätszertifikat angezeigt.
-
Mit der xe-CLI können Sie den folgenden Befehl ausführen:
xe certificate-list
Aktualisierung der Pool-internen Identitätszertifikate
Sie können das poolinterne Identitätszertifikat über die xe-CLI aktualisieren:
-
Suchen Sie die UUID des Hosts, dessen Zertifikat Sie zurücksetzen möchten, indem Sie den folgenden Befehl ausführen:
xe host-list
-
Führen Sie den folgenden Befehl aus, um das Zertifikat zurückzusetzen:
xe host-refresh-server-certificate host=<host_uuid>
Hinweis:
Jeder Hostauswahlparameter kann mit diesem Befehl verwendet werden, um den Host anzugeben, auf dem das Zertifikat zurückgesetzt werden soll.
Zurücksetzen von Serveridentitätszertifikaten
Sie können das Serveridentitätszertifikat über XenCenter oder die Xe-CLI zurücksetzen. Durch das Zurücksetzen eines Zertifikats wird das Zertifikat vom Host gelöscht und stattdessen ein neues selbstsigniertes Zertifikat installiert.
So setzen Sie ein Zertifikat in XenCenter zurück:
- Gehen Sie zur Registerkarte Allgemein für den Host.
- Klicken Sie im Abschnitt Zertifikate mit der rechten Maustaste auf das Zertifikat, das Sie zurücksetzen möchten.
- Wählen Sie im Menü Zertifikat zurücksetzenaus.
- Klicken Sie im daraufhin angezeigten Dialogfeld auf Ja, um das Zurücksetzen des Zertifikats zu bestätigen.
Alternativ können Sie im Menü Server zu Zertifikate > Zertifikat zurücksetzengehen.
Wenn Sie ein Zertifikat zurücksetzen, werden alle vorhandenen Verbindungen zum XenServer-Host getrennt — einschließlich der Verbindung zwischen XenCenter und dem Host. XenCenter stellt nach einem Zurücksetzen des Zertifikats automatisch wieder eine Verbindung zum Host her.
So setzen Sie ein Zertifikat über die xe-CLI zurück:
-
Suchen Sie die UUID des Hosts, dessen Zertifikat Sie zurücksetzen möchten, indem Sie den folgenden Befehl ausführen:
xe host-list
-
Führen Sie den folgenden Befehl aus, um das Zertifikat zurückzusetzen:
xe host-reset-server-certificate host=<host_uuid>
Hinweis:
Jeder Hostauswahlparameter kann mit diesem Befehl verwendet werden, um den XenServer-Host anzugeben, auf dem das Zertifikat zurückgesetzt werden soll.
Wenn Sie ein Zertifikat zurücksetzen, werden alle vorhandenen Verbindungen zum XenServer-Host getrennt — einschließlich der Verbindung zwischen XenCenter und dem Host. XenCenter stellt nach einem Zurücksetzen des Zertifikats automatisch wieder eine Verbindung zum Host her.
Ablaufwarnungen
XenCenter zeigt Warnungen in der Benachrichtigungsansicht an, wenn Ihre Serveridentitätszertifikate, poolinternen Identitätszertifikate oder Pool-CA-Zertifikate kurz vor ihrem Ablaufdatum stehen.
Die Zertifikatsprüfung vorübergehend deaktivieren
Es wird nicht empfohlen, die Zertifikatsüberprüfung zu deaktivieren, nachdem sie auf einem Host oder Pool aktiviert wurde. XenServer stellt jedoch Befehle bereit, mit denen die Zertifikatsüberprüfung pro Host deaktiviert werden kann, wenn Probleme mit Zertifikaten behoben werden.
Um die Zertifikatsverifizierung vorübergehend zu deaktivieren, führen Sie den folgenden Befehl auf der Hostkonsole aus:
xe host-emergency-disable-tls-verification
XenCenter zeigt in der Ansicht Benachrichtigungen eine Warnung an, wenn die Zertifikatsüberprüfung auf einem Host in einem Pool deaktiviert ist, in dem die Funktion aktiviert ist.
Nachdem Sie alle Probleme mit Zertifikaten auf dem Host behoben haben, stellen Sie sicher, dass Sie die Zertifikatsüberprüfung auf dem Host erneut aktivieren. Um die Zertifikatsüberprüfung erneut zu aktivieren, führen Sie den folgenden Befehl auf der Hostkonsole aus:
xe host-emergency-reenable-tls-verification