Certificados de segurança com o vSphere 8.0 e versões anteriores

vSphere inclui o VMware Certificate Authority (VMCA). Por padrão, a VMCA cria todos os certificados internos usados no ambiente vSphere. Ele gera certificados para ESXi hosts e provedores de armazenamento VASA recém-adicionados que gerenciam ou representam sistemas de armazenamento Virtual Volumes.

A comunicação com o provedor VASA é protegida por certificados SSL. Esses certificados podem vir do provedor VASA ou do VMCA.
  • Os certificados podem ser fornecidos diretamente pelo provedor VASA para uso a longo prazo. Eles podem ser autogerados e autoassinados ou derivados de uma Autoridade de Certificação externa.
  • Certificados podem ser gerados pelo VMCA para uso pelo provedor VASA.
Quando um host ou provedor VASA é registrado, o VMCA segue essas etapas automaticamente, sem o envolvimento do administrador vSphere.
  1. Quando um provedor VASA é adicionado pela primeira vez ao vCenter Server serviço de gerenciamento de armazenamento (SMS), ele produz um certificado autoassinado.
  2. Depois de verificar o certificado, o SMS solicita uma Solicitação de Assinatura de Certificado (CSR) do provedor VASA.
  3. Depois de receber e validar o CSR, o SMS o apresenta à VMCA em nome do provedor VASA, solicitando um certificado assinado pela CA.

    A VMCA pode ser configurada para funcionar como uma autoridade de certificação autônoma ou subordinada a uma autoridade de certificação corporativa. Se você configurar a VMCA como uma autoridade de certificação subordinada, a VMCA assinará a CSR com a cadeia completa.

  4. O certificado assinado com os certificados raiz é passado para o provedor VASA. O provedor VASA pode autenticar todas as futuras conexões seguras originadas do SMS em hosts vCenter Server e ESXi.

Suporte e segurança do VASA 5 com a versão vSphere 8.0 Update 1

Todos os provedores de armazenamento do VASA 5 e versões posteriores usam um mecanismo de autenticação mais rigoroso, que requer que ESXi seja autenticado no contexto de vCenter Server. O VASA 5 melhora a segurança e oferece um modelo de gerenciamento significativamente modificado que inclui as seguintes alterações principais:
  • Para cada vCenter Server que se registra na matriz usando o VASA 5 ou posterior, o provedor VASA cria uma instância de servidor Web dedicado ou um host virtual, que pode ser uma instância de servidor Web virtual ou uma instância completamente separada. O cliente VASA em vCenter Server depende da autenticação e da autorização baseadas em certificado para acessar seu host virtual dedicado criado na matriz. Todos os certificados de cliente VASA, incluindo certificados vCenter Server e ESXi, são registrados com o host virtual. Isso cria um forte isolamento entre diferentes sistemas vCenter Server quando os sistemas são autenticados. Além disso, os provedores VASA podem oferecer acesso a recursos separados e isolamento aprimorado para diferentes sistemas vCenter Server.
  • Com o VASA 5, o cliente VASA usa um certificado dedicado para comunicações VASA. Cada vCenter Server provisiona um certificado para o provedor VASA, que é gerenciado por meio de um host virtual dedicado específico para vCenter Server. Todos os hosts ESXi que oferecem suporte ao VASA 5 usam o host virtual dedicado criado por seu vCenter Server de gerenciamento.
  • vCenter Server provisiona o certificado de cliente VASA para cada novo host ESXi 8.0 Atualização 1 e sincroniza a chave pública do certificado com o provedor VASA. Em contraste com o modelo de segurança anterior que autenticava o emissor da CA para o certificado do cliente, o provedor VASA agora identifica e autoriza um cliente individual usando a chave pública.
  • Para cumprir os requisitos de segurança de VMware, vSphere não confia em certificados autoassinados para comunicações TLS. A única exceção é durante um curto período quando o provedor VASA é registrado e para compatibilidade com versões anteriores. Um administrador de matriz pode usar um certificado de CA personalizado para o provedor VASA para substituir o certificado autoassinado na matriz para compatibilidade com versões anteriores e inicialização.
  • Para evitar a perda de acesso ao provedor VASA, siga estas diretrizes. Para obter informações, consulte Gerenciar provedores de armazenamento para Virtual Volumes.
    • Não cancele o registro e registre novamente seu provedor VASA para fazer o upgrade. Em vez disso, use um mecanismo de atualização adequado para seu provedor VASA. Quando vCenter Server notificar você sobre uma nova versão do VASA disponível, certifique-se de aceitar essa versão dentro de um prazo razoável. Para fazer upgrade do vSphere Client, use a opção Atualizar provedor de armazenamento (Upgrade Storage Provider ).
    • Atualize regularmente o certificado do provedor VASA. Certifique-se de atualizar o certificado dentro de um tempo razoável após vCenter Server avisá-lo de que o certificado atribuído ao provedor VASA está prestes a expirar. Use a opção vSphere Client Atualizar certificado (Refresh certificate).
    • Quando você renova o certificado raiz da VMCA ou o certificado do cliente vCenter Server, o SMS pode perder a conexão com o provedor VASA. Se o provedor estiver offline, use a opção Reautenticar vCenter Server.
    • Se um host perder a autenticação, você poderá remediar a falha de autenticação usando a opção Reautenticar clientes VASA do host (Re-authenticate Host VASA Clients).