O VMware Certificate Authority (VMCA) provisiona seu ambiente com certificados. Os certificados incluem certificados SSL de máquina para conexões seguras, certificados de usuário de solução para autenticação de serviços para vCenter Single Sign-On e certificados para hosts ESXi.

Os certificados a seguir estão em uso.
Tabela 1. Certificados no vSphere
Certificado Provisionado Comentários
ESXi certificados VMCA (padrão) Armazenado localmente no host ESXi.
Certificados SSL de máquina VMCA (padrão) Armazenado no VECS.
Certificados de usuário de solução VMCA (padrão) Armazenado no VECS.
Certificado de assinatura SSL do vCenter Single Sign-On Provisionado durante a instalação. Gerencie este certificado na linha de comando.
Observação: Não altere este certificado no sistema de arquivos ou os resultados serão imprevisíveis.
Certificado SSL do VMware Directory Service (VMDIR) Provisionado durante a instalação. A partir do vSphere 6.5, o certificado SSL da máquina é usado como o certificado vmdir.

ESXi

Os certificados ESXi são armazenados localmente em cada host no diretório / etc / vmware / ssl . Os certificados ESXi são provisionados pelo VMCA por padrão, mas você pode usar certificados personalizados. Os certificados ESXi são provisionados quando o host é adicionado pela primeira vez ao vCenter Server e quando o host se reconecta.

Certificados SSL de máquina

O certificado SSL da máquina para cada nó é usado para criar um soquete SSL no lado do servidor. Os clientes SSL se conectam ao soquete SSL. O certificado é usado para verificação do servidor e para comunicação segura, como HTTPS ou LDAPS.

Cada nó vCenter Server tem seu próprio certificado SSL de máquina. Todos os serviços que estão em execução em um nó do vCenter Server usam o certificado SSL da máquina para expor seus endpoints SSL.

Os serviços a seguir usam o certificado SSL da máquina.
  • O serviço de proxy reverso. As conexões SSL para serviços individuais do vCenter sempre vão para o proxy reverso. O tráfego não vai para os serviços em si.
  • O serviço vCenter Server (vpxd).
  • O serviço de diretório do VMware (vmdir).

Os produtos VMware usam certificados padrão X.509 versão 3 (X.509v3) para criptografar as informações da sessão. As informações da sessão são enviadas por SSL entre os componentes.

Certificados de usuário de solução

Um usuário de solução encapsula um ou mais serviços do vCenter Server. Cada usuário da solução deve ser autenticado no vCenter Single Sign-On. Os usuários da solução usam certificados para se autenticar no vCenter Single Sign-On por meio da troca de token SAML.

Um usuário de solução apresenta o certificado para vCenter Single Sign-On quando ele precisa se autenticar pela primeira vez, após uma reinicialização e após um tempo limite ter decorrido. O tempo limite (Tempo limite do titular da chave) pode ser definido a partir de vSphere Client e o padrão é 2592000 segundos (30 dias).

Por exemplo, o usuário da solução vpxd apresenta seu certificado para vCenter Single Sign-On quando ele se conecta a vCenter Single Sign-On. O usuário da solução vpxd recebe um token SAML de vCenter Single Sign-On e pode usar esse token para autenticar outros usuários e serviços da solução.

Os seguintes armazenamentos de certificados de usuário de solução estão incluídos no VECS:

  • machine: usado pelo servidor de licença e o serviço de log.
    Observação: O certificado de usuário da solução de máquina não tem nada a ver com o certificado SSL da máquina. O certificado de usuário da solução de máquina é usado para a troca de token SAML. O certificado SSL da máquina é usado para conexões SSL seguras para uma máquina.
  • vpxd: vCenter service daemon (vpxd) store. O vpxd usa o certificado de usuário da solução que está armazenado neste repositório para autenticar o vCenter Single Sign-On.
  • vpxd-extension: armazenamento de extensões do vCenter. Inclui o serviço Auto Deploy, o serviço de inventário e outros serviços que não fazem parte de outros usuários da solução.
  • vsphere-webclient: vSphere Client store. Também inclui alguns serviços adicionais, como o serviço de gráfico de desempenho.
  • wcp: VMware vSphere® com VMware Tanzu™ store.

Certificados internos

Os certificados vCenter Single Sign-On não são armazenados no VECS e não são gerenciados com ferramentas de gerenciamento de certificados. Como regra, as alterações não são necessárias, mas em situações especiais, você pode substituir esses certificados.
vCenter Single Sign-On Certificado de Assinatura
O serviço do vCenter Single Sign-On inclui um serviço de provedor de identidade que emite tokens SAML que são usados para autenticação em todo o vSphere. Um token SAML representa a identidade do usuário e também contém informações de associação ao grupo. Quando o vCenter Single Sign-On emite tokens SAML, ele assina cada token com seu certificado de assinatura para que os clientes do vCenter Single Sign-On possam verificar se o token SAML vem de uma fonte confiável.
Você pode substituir esse certificado da CLI. Consulte o Substituir um certificado de STS do vCenter Server usando a linha de comando.
Certificado SSL do serviço de diretório do VMware
A partir do vSphere 6.5, o certificado SSL da máquina é usado como o certificado do diretório VMware. Para versões anteriores do vSphere, consulte a documentação correspondente.
Certificados de criptografia de máquina virtual do vSphere
A solução vSphere Virtual Machine Encryption se conecta a um servidor de gerenciamento de chaves (KMS) externo. Dependendo de como a solução se autentica no KMS, ela pode gerar certificados e armazená-los no VECS. Consulte a documentação do Segurança do vSphere .