XenServer

Überprüfung des Zertifikats

January 31, 2025

Beitrag von:

Wenn die Zertifikatsüberprüfung für einen Pool aktiviert ist, verwenden alle TLS-Kommunikationsendpunkte im Verwaltungsnetzwerk Zertifikate, um die Identität ihrer Peers zu überprüfen, bevor vertrauliche Informationen übertragen werden.

Benehmen

Bei Verbindungen, die von einem XenServer-Host im Verwaltungsnetzwerk initiiert werden, muss der Zielendpunkt ein TLS-Zertifikat bereitstellen, um seine Identität zu bestätigen. Diese Anforderung wirkt sich auf die folgenden Elemente aus, die Teil des Pools sind oder mit dem Pool interagieren:

Hosts im Pool
XenCenter
Clients von Drittanbietern, die die API verwenden

Die Zertifikatsüberprüfung ist sowohl mit den selbstsignierten Zertifikaten, die von XenServer bereitgestellt werden, als auch mit vom Benutzer installierten Zertifikaten kompatibel, die von einer vertrauenswürdigen Zertifizierungsstelle signiert wurden. Weitere Informationen finden Sie unter Installieren eines TLS-Zertifikats auf Ihrem Host.

Jeder XenServer-Host in einem Pool verfügt über zwei Zertifikate, die ihn identifizieren:

Pool-interne Identitätszertifikate werden verwendet, um die Kommunikation zwischen Hosts innerhalb des Pools zu sichern. Für die Kommunikation innerhalb des Pools verwendet XenServer immer selbstsignierte Zertifikate.
Zertifikate für die Serveridentität werden verwendet, um die Identität eines XenServer-Hosts für alle Clientanwendungen zu überprüfen, die mit dem Pool im Verwaltungsnetzwerk kommunizieren. Für die Kommunikation zwischen dem Host und einer Clientanwendung können Sie selbstsignierte Zertifikate verwenden oder Ihre eigenen TLS-Zertifikate auf Ihren Hosts installieren.

Wenn ein Host zum ersten Mal dem Pool beitritt oder ein Client zum ersten Mal eine Verbindung mit dem Pool herstellt, vertraut der Pool der Verbindung. Bei dieser ersten Verbindung werden Zertifikate zwischen dem Pool und dem beitretenden Host oder dem verbindenden Client ausgetauscht. Für alle nachfolgenden Kommunikationen durch diesen Host oder Client im Verwaltungsnetzwerk werden die Zertifikate verwendet, um die Identität der an der Kommunikation beteiligten Parteien zu überprüfen.

Es wird empfohlen, die Zertifikatsüberprüfung auf allen Ihren Hosts und Pools zu aktivieren. Damit ein XenServer-Host erfolgreich einem Pool beitreten kann, muss sowohl für den Host als auch für den Pool die Zertifikatsüberprüfung aktiviert oder deaktiviert sein. Wenn die Zertifikatüberprüfung auf einem und nicht auf dem anderen aktiviert ist, ist der Verknüpfungsvorgang nicht erfolgreich. XenCenter gibt eine Warnmeldung aus, die Ihnen empfiehlt, die Zertifikatsüberprüfung für den Pool oder den beitretenden Host zu aktivieren.

Wenn ein Host einen Pool mit aktivierter Zertifikatsüberprüfung verlässt, löschen sowohl der Host als auch der Pool die Zertifikate, die sich auf den jeweils anderen Host beziehen.

Die virtuelle Workload Balancing-Appliance kann mit Zertifikatsüberprüfung verwendet werden. Sie müssen sicherstellen, dass die selbstsignierten Workload Balancing-Zertifikate auf Ihrem XenServer-Host installiert sind.

Die virtuelle Conversion Manager-Appliance stellt keine Verbindung zu XenServer-Hosts her und ist daher von der Zertifizierungsprüfung ausgenommen, wenn sie als TLS-Client-Endpunkt fungiert.

Aktivieren der Zertifikatsüberprüfung für Ihren Pool

Die Zertifikatsüberprüfung ist bei Neuinstallationen von XenServer 8 und höher standardmäßig aktiviert. Wenn Sie ein Upgrade von einer früheren Version von XenServer oder Citrix Hypervisor durchführen, wird die Zertifikatsüberprüfung nicht automatisch aktiviert und Sie müssen sie aktivieren. XenCenter fordert Sie auf, die Zertifikatsüberprüfung zu aktivieren, wenn Sie das nächste Mal eine Verbindung mit dem aktualisierten Pool herstellen.

Stellen Sie vor dem Aktivieren der Zertifikatüberprüfung in einem Pool sicher, dass keine Vorgänge im Pool ausgeführt werden.

Aktivieren mit XenCenter

XenCenter bietet mehrere Möglichkeiten, die Zertifikatsüberprüfung zu aktivieren.

Wenn Sie XenCenter zum ersten Mal mit einem Pool verbinden, ohne dass die Zertifikatsüberprüfung aktiviert ist, werden Sie aufgefordert, sie zu aktivieren. Klicken Ja, Zertifikatsüberprüfung aktivieren.
Im Tümpel und wählen Sie Aktivieren der Zertifikatsüberprüfung.
Am Allgemein Registerkarte des Pools, klicken Sie mit der rechten Maustaste auf den Eintrag Überprüfung des Zertifikats und wählen Sie Aktivieren der Zertifikatsüberprüfung aus dem Menü.

Aktivieren mit der xe CLI

Um die Zertifikatsüberprüfung für einen Pool zu aktivieren, führen Sie den folgenden Befehl in der Konsole eines Hosts im Pool aus:

  xe pool-enable-tls-verification

Verwalten von Zertifikaten

Sie können die Zertifikate, die zum Überprüfen der Identität eines Hosts verwendet werden, installieren, Informationen dazu anzeigen und zurücksetzen.

Installieren von Zertifikaten

Sie können ein eigenes TLS-Zertifikat für den Host installieren, das beim Empfang von Verbindungen von Clientanwendungen im Verwaltungsnetzwerk als Identitätszertifikat angezeigt wird.

Weitere Informationen finden Sie unter Installieren eines TLS-Zertifikats auf Ihrem Host.

Anzeigen von Zertifikatinformationen

So finden Sie heraus, ob für einen Pool die Zertifikatsüberprüfung aktiviert ist:

Suchen Sie in XenCenter in der Allgemein für den Pool. Das Allgemein hat einen Eintrag für Überprüfung des Zertifikats , die anzeigt, ob die Zertifikatsüberprüfung aktiviert oder deaktiviert ist. Diese Registerkarte enthält auch eine Atteste , in dem der Name, die Gültigkeit und der Fingerabdruck für die Zertifizierungsstellenzertifikate aufgeführt sind.
Mit der xe CLI können Sie den folgenden Befehl ausführen:
```
   xe pool-param-get uuid=<pool_uuid> param-name=tls-verification-enabled
```
Wenn die Zertifikatsüberprüfung aktiviert ist, wird die Zeile tls-verification-enabled ( RO): wahr wird in der Befehlsausgabe angezeigt.

So zeigen Sie Informationen zu den Zertifikaten auf einem XenServer-Host an:

Gehen Sie in XenCenter zum Allgemein für diesen Host. Das Atteste zeigt den Fingerabdruck und die Gültigkeitsdaten für das Serveridentitätszertifikat und das poolinterne Identitätszertifikat an.
Mit der xe CLI können Sie den folgenden Befehl ausführen:
```
   xe certificate-list
```

Aktualisieren von poolinternen Identitätszertifikaten

Sie können das poolinterne Identitätszertifikat mithilfe der xe-CLI aktualisieren:

Suchen Sie die UUID des Hosts, dessen Zertifikat Sie zurücksetzen möchten, indem Sie den folgenden Befehl ausführen:
```
  xe host-list
```
Führen Sie den folgenden Befehl aus, um das Zertifikat zurückzusetzen:
```
  xe host-refresh-server-certificate host=<host_uuid>
```
Hinweis:

Ein beliebiger Hostauswahlparameter kann mit diesem Befehl verwendet werden, um den Host anzugeben, auf dem das Zertifikat zurückgesetzt werden soll.

Zurücksetzen von Serveridentitätszertifikaten

Sie können das Serveridentitätszertifikat über XenCenter oder die xe CLI zurücksetzen. Durch das Zurücksetzen eines Zertifikats wird das Zertifikat vom Host gelöscht und an seiner Stelle ein neues selbstsigniertes Zertifikat installiert.

So setzen Sie ein Zertifikat in XenCenter zurück:

Gehen Sie zum Allgemein für den Host.
Im Atteste Klicken Sie mit der rechten Maustaste auf das Zertifikat, das Sie zurücksetzen möchten.
Wählen Sie im Menü Zertifikat zurücksetzen.
Klicken Sie im angezeigten Dialogfeld auf Ja , um das Zurücksetzen des Zertifikats zu bestätigen.

Alternativ können Sie in der Server können Sie zu Atteste > Zertifikat zurücksetzen.

Wenn Sie ein Zertifikat zurücksetzen, werden alle vorhandenen Verbindungen zum XenServer-Host getrennt – einschließlich der Verbindung zwischen XenCenter und dem Host. XenCenter stellt nach dem Zurücksetzen des Zertifikats automatisch die Verbindung zum Host wieder her.

So setzen Sie ein Zertifikat mithilfe der xe CLI zurück:

Suchen Sie die UUID des Hosts, dessen Zertifikat Sie zurücksetzen möchten, indem Sie den folgenden Befehl ausführen:
```
  xe host-list
```
Führen Sie den folgenden Befehl aus, um das Zertifikat zurückzusetzen:
```
  xe host-reset-server-certificate host=<host_uuid>
```
Hinweis:

Ein beliebiger Hostauswahlparameter kann mit diesem Befehl verwendet werden, um den XenServer-Host anzugeben, auf dem das Zertifikat zurückgesetzt werden soll.

Warnmeldungen zum Ablauf

XenCenter zeigt Warnungen in der Benachrichtigungen Zeigen Sie an, wann Ihre Serveridentitätszertifikate, Pool-internen Identitätszertifikate oder Pool-CA-Zertifikate kurz vor ihrem Ablaufdatum stehen.

Vorübergehendes Deaktivieren der Zertifikatsüberprüfung

Es wird nicht empfohlen, die Zertifikatüberprüfung zu deaktivieren, nachdem sie auf einem Host oder Pool aktiviert wurde. XenServer stellt jedoch Befehle bereit, mit denen die Zertifikatsüberprüfung pro Host deaktiviert werden kann, wenn Probleme mit Zertifikaten behoben werden.

Um die Zertifikatsüberprüfung vorübergehend zu deaktivieren, führen Sie den folgenden Befehl in der Hostkonsole aus:

  xe host-emergency-disable-tls-verification

XenCenter zeigt eine Warnung in der Benachrichtigungen Ansicht, wenn die Zertifikatsüberprüfung auf einem Host in einem Pool deaktiviert ist, in dem die Funktion aktiviert ist.

Nachdem Sie alle Probleme mit Zertifikaten auf dem Host behoben haben, stellen Sie sicher, dass Sie die Zertifikatsüberprüfung auf dem Host erneut aktivieren. Um die Zertifikatsüberprüfung erneut zu aktivieren, führen Sie den folgenden Befehl auf der Hostkonsole aus:

  xe host-emergency-reenable-tls-verification

Die offizielle Version dieses Inhalts ist auf Englisch. Für den einfachen Einstieg wird Teil des Inhalts der Cloud Software Group Dokumentation maschinell übersetzt. Cloud Software Group hat keine Kontrolle über maschinell übersetzte Inhalte, die Fehler, Ungenauigkeiten oder eine ungeeignete Sprache enthalten können. Es wird keine Garantie, weder ausdrücklich noch stillschweigend, für die Genauigkeit, Zuverlässigkeit, Eignung oder Richtigkeit von Übersetzungen aus dem englischen Original in eine andere Sprache oder für die Konformität Ihres Cloud Software Group Produkts oder Ihres Diensts mit maschinell übersetzten Inhalten gegeben, und jegliche Garantie, die im Rahmen der anwendbaren Endbenutzer-Lizenzvereinbarung oder der Vertragsbedingungen oder einer anderen Vereinbarung mit Cloud Software Group gegeben wird, dass das Produkt oder den Dienst mit der Dokumentation übereinstimmt, gilt nicht in dem Umfang, in dem diese Dokumentation maschinell übersetzt wurde. Cloud Software Group kann nicht für Schäden oder Probleme verantwortlich gemacht werden, die durch die Verwendung maschinell übersetzter Inhalte entstehen können.

War dieser Artikel hilfreich?

Überprüfung des Zertifikats

January 31, 2025

Beitrag von:

January 31, 2025

Beitrag von:

In diesem Artikel

Benehmen
Aktivieren der Zertifikatsüberprüfung für Ihren Pool
Verwalten von Zertifikaten
Vorübergehendes Deaktivieren der Zertifikatsüberprüfung

War dieser Artikel hilfreich?