layout: doc—

TLS-Zertifikat auf dem Server installieren

Hinweis:

XenCenter yyyy.x.x wird noch nicht für die Verwendung mit Citrix Hypervisor 8.2 CU1 in Produktionsumgebungen unterstützt. Verwenden Sie XenCenter 8.2.7, um Ihre Citrix Hypervisor 8.2 CU1-Produktionsumgebung zu verwalten. Weitere Informationen finden Sie in der XenCenter 8.2.7-Dokumentation.

Sie können XenCenter 8.2.7 und XenCenter yyyy.x.x auf demselben System installieren. Die Installation von XenCenter yyyy.x.x überschreibt Ihre XenCenter 8.2.7-Installation nicht.

Der XenServer-Host wird mit einem Standard-TLS-Zertifikat installiert. Um jedoch HTTPS zur Sicherung der Kommunikation zwischen XenServer und Citrix Virtual Apps and Desktops zu verwenden, installieren Sie ein Zertifikat, das von einer vertrauenswürdigen Zertifizierungsstelle bereitgestellt wird.

Dieser Artikel enthält Informationen zur Verwendung von Zertifikaten in XenCenter. Informationen zum Arbeiten mit Zertifikaten mithilfe der xe CLI finden Sie unter Hosts und Ressourcenpools.

Anforderungen

Stellen Sie sicher, dass Ihr TLS-Zertifikat und sein privater Schlüssel die folgenden Anforderungen erfüllen:

• Das Zertifikat und das Schlüsselpaar sind ein RSA-Schlüssel
• Der Schlüssel stimmt mit dem Zertifikat überein
• Der Schlüssel wird in einer separaten Datei zum Zertifikat bereitgestellt
• Das Zertifikat wird in einer separaten Datei zu allen Zwischenzertifikaten bereitgestellt.
• Die Schlüsseldatei muss einem der folgenden Typen entsprechen: .pem oder .key
• Alle Zertifikatsdateien müssen einem der folgenden Typen entsprechen: .pem, .cer oder .crt
• Der Schlüssel ist größer oder gleich 2.048 Bit und kleiner oder gleich 4.096 Bit lang
• Der Schlüssel ist ein unverschlüsselter PKCS #8 -Schlüssel und hat keinen Passkey
• Der Schlüssel und das Zertifikat liegen im Base-64-kodierten PEM-Format vor
• Das Zertifikat ist gültig und ist nicht abgelaufen
• Der Signaturalgorithmus ist SHA-2 (SHA256)

XenCenter warnt Sie, wenn das Zertifikat und der Schlüssel, die Sie wählen, diese Anforderungen nicht erfüllen.

Installieren eines Zertifikats

Sie können XenCenter verwenden, um ein Zertifikat, das sich auf dem XenCenter System befindet, auf einem XenServer-Host zu installieren.

Um ein Zertifikat auf einem XenServer-Host zu installieren, benötigen Sie die Pool-Admin-Rolle und auf dem XenServer-Host darf HA nicht aktiviert sein.

1. Gehen Sie zum Dialog “ Zertifikate installieren”. Sie können auf eine der folgenden Arten zu diesem Dialog gelangen:

   • Wählen Sie im Menü Server die Option Zertifikate installieren.
   • Klicken Sie im Ressourcenbereich mit der rechten Maustaste auf den Host und wählen Sie im Kontextmenü die Option Zertifikate installieren .
   • Klicken Sie auf der Registerkarte Allgemein des Hosts mit der rechten Maustaste auf den Abschnitt Zertifikate und wählen Sie im Kontextmenü die Option Zertifikate installieren .
2. Navigieren Sie im Dialog Zertifikate installieren zum Speicherort der Datei mit dem privaten Schlüssel und wählen Sie sie aus.
3. Navigieren Sie zum Speicherort der Serverzertifikatsdatei und wählen Sie sie aus.

4. Sie können beliebig viele Zwischenzertifikate aus der Zertifikatskette hinzufügen.

   1. Klicken Sie auf Hinzufügen.
   2. Navigieren Sie zum Speicherort eines oder mehrerer Zwischenzertifikate und wählen Sie sie aus.

5. Klicken Sie auf Installieren.

   XenCenter validiert und installiert die Zertifikate.

   • Wenn ein Problem mit einem Zertifikat auftritt, zeigt XenCenter eine Fehlermeldung an. Versuchen Sie, das Problem zu beheben, und klicken Sie erneut auf Installieren .
   • Wenn das Zertifikat erfolgreich installiert wurde, zeigt XenCenter eine Erfolgsmeldung an. Sie können jetzt auf Schließen klicken, um den Dialog zu schließen.

Wenn das Zertifikat auf einem XenServer-Host geändert wird, schließt der Host alle offenen Verbindungen. XenCenter erwartet dieses Verhalten und öffnet die Verbindung mit dem XenServer-Host erneut. Möglicherweise müssen Sie jedoch alle anderen Verbindungen, die zuvor für den Host geöffnet waren, manuell erneut öffnen, z. B. von einem anderen API-Client oder der Remote-Xe-CLI aus.

Zertifikatsinformationen anzeigen

Auf der Registerkarte Allgemein für einen XenServer-Host werden in einem Abschnitt namens Zertifikate die folgenden Informationen für den Host angezeigt:

• Die Gültigkeitsdauer des Zertifikats. Dieser Text erscheint rot, wenn sich das Zertifikat seinem Ablaufdatum nähert.
• Der Fingerabdruck des Zertifikats

Auf der Registerkarte Allgemein für einen XenServer-Pool werden die folgenden Informationen für den Pool angezeigt:

• Der Abschnitt Allgemein enthält einen Eintrag für die Zertifikatsüberprüfung, der anzeigt, ob die Zertifikatsüberprüfung aktiviert oder deaktiviert ist.
• Im Abschnitt Zertifikate werden Name, Gültigkeit und Fingerabdruck für die CA-Zertifikate aufgeführt.

Zertifikatsüberprüfung für Ihren Pool aktivieren

Die Zertifikatsüberprüfung ist bei Neuinstallationen von XenServer 8 und höher standardmäßig aktiviert. Weitere Informationen finden Sie unter Zertifikatsverifizierung.

Wenn Sie ein Upgrade von einer früheren Version von XenServer durchführen, wird die Zertifikatsüberprüfung nicht automatisch aktiviert und Sie müssen sie aktivieren. XenCenter fordert Sie auf, die Zertifikatsüberprüfung zu aktivieren, wenn Sie das nächste Mal eine Verbindung zum aktualisierten Pool herstellen.

Bevor Sie die Zertifikatüberprüfung für einen Pool aktivieren, stellen Sie sicher, dass keine Vorgänge im Pool ausgeführt werden.

XenCenter bietet verschiedene Möglichkeiten, die Zertifikatsüberprüfung zu aktivieren.

• Wenn Sie das XenCenter zum ersten Mal mit einem Pool ohne aktivierte Zertifikatsüberprüfung verbinden, werden Sie aufgefordert, ihn zu aktivieren. Klicken Sie auf Ja, Zertifikatsüberprüfung aktivieren.
• Wählen Sie im Menü Pool die Option Zertifikatüberprüfung aktivierenaus.
• Klicken Sie auf der Registerkarte Allgemein des Pools mit der rechten Maustaste auf den Eintrag Zertifikatüberprüfung, und wählen Sie im Menü die Option Zertifikatüberprüfung aktivieren .

Server-Identitätszertifikate zurücksetzen

Sie können das Serveridentitätszertifikat über XenCenter oder die Xe-CLI zurücksetzen. Durch das Zurücksetzen eines Zertifikats wird das Zertifikat vom Host gelöscht und stattdessen ein neues selbstsigniertes Zertifikat installiert.

So setzen Sie ein Zertifikat in XenCenter zurück:

1. Gehen Sie zur Registerkarte Allgemein für den Host.
2. Klicken Sie im Abschnitt Zertifikate mit der rechten Maustaste auf das Zertifikat, das Sie zurücksetzen möchten.
3. Wählen Sie im Menü Zertifikat zurücksetzenaus.
4. Klicken Sie im daraufhin angezeigten Dialogfeld auf Ja, um das Zurücksetzen des Zertifikats zu bestätigen.

Alternativ können Sie im Menü Server zu Zertifikat > Zertifikat zurücksetzengehen.

Wenn Sie ein Zertifikat zurücksetzen, werden alle vorhandenen Verbindungen zum XenServer-Host getrennt — einschließlich der Verbindung zwischen XenCenter und dem Host.

Informationen zum Zurücksetzen eines Zertifikats über die xe-CLI finden Sie unter Zertifikatüberprüfung.

Zertifikat-Benachrichtigungen

Wenn sich Ihre Zertifikate dem Ablaufdatum nähern, zeigt XenCenter im Abschnitt “Warnungen” der Registerkarte “ Benachrichtigungen “ Warnungen an. Sie können das Dialogfeld “ Zertifikate installieren “ über das Aktionsmenü dieser Warnungen öffnen.

Weitere Informationen zu Warnungen finden Sie unter XenCenter Alerts.