vSphere fornece segurança usando certificados para criptografar comunicações, autenticar serviços e assinar tokens.
Como o vSphere usa certificados
- Criptografe as comunicações entre dois nós, como um host vCenter Server e um ESXi.
- Autentique serviços vSphere.
- Execute ações internas, como assinar tokens.
O que é o VMware Certificate Authority
A autoridade de certificação interna de vSphere, VMware Certificate Authority (VMCA), fornece todos os certificados necessários para vCenter Server e ESXi. O VMCA é instalado em cada host vCenter Server, protegendo imediatamente a solução sem qualquer outra modificação. Manter essa configuração padrão fornece a menor sobrecarga operacional para o gerenciamento de certificados. vSphere fornece um mecanismo para renovar esses certificados no caso de expirarem.
vSphere também fornece um mecanismo para substituir determinados certificados pelos seus próprios certificados. No entanto, substitua apenas o certificado SSL que fornece criptografia entre nós para manter a sobrecarga de gerenciamento de certificados baixa.
Quais opções você tem para gerenciar certificados do vSphere
As opções a seguir são recomendadas para o gerenciamento de certificados.
Modo | Descrição | Vantagens |
---|---|---|
Certificados padrão da VMCA | A VMCA fornece todos os certificados para hosts vCenter Server e ESXi. | A sobrecarga mais simples e mais baixa. A VMCA pode gerenciar o ciclo de vida do certificado para hosts vCenter Server e ESXi. |
Certificados padrão da VMCA com certificados SSL externos (modo híbrido) | Substitua os certificados SSL vCenter Server e permita que a VMCA gerencie certificados para usuários da solução e hosts ESXi. Opcionalmente, para implantações de alta segurança, você também pode substituir os certificados SSL do host ESXi. | Simples e seguro. A VMCA gerencia certificados internos, mas você obtém o benefício de usar seus certificados SSL aprovados pela empresa e ter esses certificados confiáveis por seus navegadores. |
A VMware não recomenda a substituição de certificados de usuário da solução ou certificados STS, nem o uso de uma autoridade de certificação subordinada no lugar da VMCA. Se você escolher uma dessas opções, poderá encontrar uma complexidade significativa e o potencial de um impacto negativo na sua segurança, além de um aumento desnecessário no seu risco operacional. Para obter mais informações sobre o gerenciamento de certificados em um ambiente vSphere, consulte a postagem de blog intitulada Detonado sobre o novo produto - Substituição de certificado SSL híbrido vSphere em http://vmware.com/go/hybridvmca.
Quais ferramentas estão disponíveis para substituir vSphere certificados
Você pode usar as seguintes opções para substituir os certificados existentes.
Opção | Ver |
---|---|
Use o vSphere Client. | Gerenciando certificados usando o vSphere Client |
Use a API de Automação vSphere para gerenciar o ciclo de vida dos certificados. | VMware vSphereGuia de programação dos SDKs de automação em https://developer.vmware.com/docs/11699/vmware-vsphere-automation-sdks-programming-guide |
Use o utilitário vSphere Certificate Manager na linha de comando. | Gerenciando certificados usando o utilitário vSphere Certificate Manager |
Use comandos da CLI para substituição manual do certificado. | vSphere Referência de comandos da CLI de certificados e serviços |