O VMware Certificate Authority (VMCA) provisiona seu ambiente com certificados. Os certificados incluem certificados SSL de máquina para conexões seguras, certificados de usuário da solução para autenticação de serviços para vCenter Single Sign-On e certificados para hosts ESXi.
Certificado | Provisionado | Comentários |
---|---|---|
ESXi certificados | VMCA (padrão) | Armazenado localmente no host ESXi. |
Certificados SSL de máquina | VMCA (padrão) | Armazenado em VMware Endpoint Certificate Store (VECS). |
Certificados de usuário da solução | VMCA (padrão) | Armazenado em VECS. |
Certificado de assinatura SSL vCenter Single Sign-On | Provisionado durante a instalação. | Gerencie este certificado a partir da linha de comando.
Observação: Não altere este certificado no sistema de arquivos ou resultados de comportamento imprevisíveis.
|
VMware Certificado SSL do Serviço de Diretório (VMDIR) | Provisionado durante a instalação. | No vSphere 6.5 e posterior, o certificado SSL da máquina é usado como o certificado vmdir. |
Certificados autoassinados por SMS | Provisionado durante o registro do Provedor IOFilter. | No vSphere 7.0 e posterior, os certificados autoassinados por SMS são armazenados em /etc/vmware/ssl/iofiltervp_castore.pem. Antes do vSphere 7.0, os certificados autoassinados por SMS eram armazenados em /etc/vmware/ssl/castore.pem. Além disso, o Repositório de SMS também pode armazenar certificados autoassinados do Provedor VVOL VASA (versão 4.0 e anteriores) quando keepVasaProviderCertificate=True. |
ESXi Certificados
Os certificados ESXi são armazenados localmente em cada host no diretório /etc/vmware/ssl. Os certificados ESXi são provisionados pela VMCA por padrão, mas você pode usar certificados personalizados em vez disso. Certificados ESXi são provisionados quando o host é adicionado pela primeira vez a vCenter Server e quando o host se reconecta. Para obter mais informações, consulte a documentação vSphere Segurança.
Certificados SSL da máquina
O certificado SSL da máquina para cada nó é usado para criar um soquete SSL no lado do servidor. Os clientes SSL se conectam ao soquete SSL. O certificado é usado para verificação do servidor e para comunicação segura, como HTTPS ou LDAPS.
Cada nó vCenter Server tem seu próprio certificado SSL de máquina. Todos os serviços em execução em um nó vCenter Server usam o certificado SSL da máquina para expor seus endpoints SSL.
- O serviço de proxy reverso. As conexões SSL com serviços vCenter individuais sempre vão para o proxy reverso. O tráfego não vai para os próprios serviços.
- O serviço vCenter Server (vpxd).
- O Serviço de Diretório VMware (vmdir).
Os produtos VMware usam certificados X.509 versão 3 (X.509v3) padrão para criptografar informações de sessão. As informações da sessão são enviadas por SSL entre os componentes.
Certificados de usuário da solução
Um usuário da solução encapsula um ou mais serviços vCenter Server. Cada usuário da solução deve ser autenticado para vCenter Single Sign-On. Os usuários da solução usam certificados para autenticar em vCenter Single Sign-On por meio da troca de token SAML.
Um usuário da solução apresenta o certificado para vCenter Single Sign-On quando ele precisa autenticar pela primeira vez, após uma reinicialização e após o tempo limite ter expirado. O tempo limite (Tempo limite do detentor da chave) pode ser definido a partir de vSphere Client e o padrão é 2592.000 segundos (30 dias).
Por exemplo, o usuário da solução vpxd apresenta seu certificado para vCenter Single Sign-On quando se conecta a vCenter Single Sign-On. O usuário da solução vpxd recebe um token SAML de vCenter Single Sign-On e pode usar esse token para se autenticar em outros usuários e serviços da solução.
Os seguintes repositórios de certificados do usuário da solução estão incluídos no VECS:
machine
: usado pelo servidor de licença e pelo serviço de log.Observação: O certificado de usuário da solução da máquina não tem nada a ver com o certificado SSL da máquina. O certificado de usuário da solução de máquina é usado para a troca de token SAML. O certificado SSL da máquina é usado para conexões SSL seguras para uma máquina.vpxd
: vCenter repositório do daemon de serviço (vpxd). O vpxd usa o certificado de usuário da solução que está armazenado nesse repositório para autenticar para vCenter Single Sign-On.vpxd-extension
: vCenter repositório de extensões. Inclui o serviço de Implantação automática, o serviço de inventário e outros serviços que não fazem parte de outros usuários da solução.vsphere-webclient
: vSphere Client loja. Também inclui alguns serviços adicionais, como o serviço de gráfico de desempenho.wcp
: VMware vSphere® com armazenamento de VMware Tanzu™.
Certificados internos
- vCenter Single Sign-On Certificado de assinatura
- O serviço vCenter Single Sign-On inclui um serviço de provedor de identidade que emite tokens SAML que são usados para autenticação em todo o vSphere. Um token SAML representa a identidade do usuário e também contém informações de associação ao grupo. Quando vCenter Single Sign-On emite tokens SAML, ele assina cada token com seu certificado de assinatura para que os clientes de vCenter Single Sign-On possam verificar se o token SAML vem de uma fonte confiável.
- Certificado SSL do serviço de diretório VMware
- No vSphere 6.5 e posterior, o certificado SSL da máquina é usado como o certificado do diretório VMware. Para versões anteriores do vSphere, consulte a documentação correspondente.
- vSphere Certificados de criptografia de máquina virtual
- A solução de Criptografia de Máquina Virtual vSphere se conecta a um servidor de chaves. Dependendo de como a solução é autenticada no servidor de chaves, ela pode gerar certificados e armazená-los no VECS. Consulte a documentação do vSphere Segurança.