O vSphere fornece segurança usando certificados para criptografar comunicações, autenticar serviços e assinar tokens.
- Criptografe as comunicações entre dois nós, como um host vCenter Server e um ESXi.
- Autentique os serviços do vSphere.
- Realize ações internas, como assinar tokens.
A autoridade de certificação interna do vSphere, VMware Certificate Authority (VMCA), fornece todos os certificados necessários para vCenter Server e ESXi. O VMCA é instalado em cada host vCenter Server, protegendo imediatamente a solução sem qualquer outra modificação. Manter essa configuração padrão fornece a menor sobrecarga operacional para o gerenciamento de certificados. O vSphere fornece um mecanismo para renovar esses certificados caso eles expirem.
O vSphere também fornece um mecanismo para substituir determinados certificados por seus próprios certificados. No entanto, substitua apenas o certificado SSL que fornece criptografia entre os nós, para manter a sobrecarga de gerenciamento de certificados baixa.
As seguintes opções são recomendadas para o gerenciamento de certificados.
| Modo | Descrição | Vantagens |
|---|---|---|
| Certificados padrão VMCA | A VMCA fornece todos os certificados para os hosts vCenter Server e ESXi. | Sobrecarga mais simples e mais baixa. A VMCA pode gerenciar o ciclo de vida do certificado para hosts vCenter Server e ESXi. |
| Certificados padrão VMCA com certificados SSL externos (modo híbrido) | Você substitui os certificados SSL vCenter Server e permite que o VMCA gerencie certificados para usuários de solução e hosts ESXi. Opcionalmente, para implantações preocupadas com alta segurança, você também pode substituir os certificados SSL do host ESXi. | Simples e seguro. A VMCA gerencia certificados internos, mas você obtém o benefício de usar seus certificados SSL aprovados pela empresa e ter esses certificados confiáveis para seus navegadores. |
O VMware não recomenda a substituição de certificados de usuário de solução ou certificados STS, nem o uso de uma autoridade de certificação subordinada no lugar do VMCA. Se você escolher qualquer uma dessas opções, poderá encontrar uma complexidade significativa e o potencial de um impacto negativo para a sua segurança e um aumento desnecessário no seu risco operacional. Para obter mais informações sobre o gerenciamento de certificados em um ambiente vSphere, consulte a postagem do blog intitulada New Product Walkthrough - Hybrid vSphere SSL Certificate Replacement em http://vmware.com/go/hybridvmca.
Você pode usar as seguintes opções para substituir os certificados existentes.
| Opção | Consulte |
|---|---|
| Use o vSphere Client. | Gerenciando certificados com o vSphere Client |
| Use a API do vSphere Automation para gerenciar o ciclo de vida dos certificados. | VMware vSphere Automation SDKs Programming Guide |
| Use o utilitário vSphere Certificate Manager na linha de comando. | Gerenciando certificados com o utilitário vSphere Certificate Manager |
| Use os comandos da CLI para a substituição manual do certificado. | Gerenciando serviços e certificados com comandos CLI |
