在 vSphere 环境中,不同类型的证书用于实现不同的目的。

vCenter Single Sign-On STS 服务发布的 SAML 令牌

凡是通过 vCenter Single Sign-On 登录的用户,均可通过 STS 证书使用 vCenter Single Sign-On 支持的任意 vCenter 服务,而无需逐个进行身份验证。STS 服务会发出安全断言标记语言 (SAML) 令牌。这些安全令牌表示受 vCenter Single Sign-On 支持的标识源类型之一中的用户标识。请参见如何使用 vCenter Single Sign-On 保护您的环境

vCenter Single Sign-On 服务负责部署身份提供程序,该提供程序可发布由 vSphere 用于进行身份验证的 SAML 令牌。SAML 令牌是表示用户身份(用户名、名字、姓氏)的一块 XML。此外,SAML 令牌中包含组成员资格信息,以便能够用于授权操作。在 vCenter Single Sign-On 发布 SAML 令牌时,它将使用证书链对每个令牌进行签名,以便 vCenter Single Sign-On 的客户端可以验证 SAML 令牌是否来自可信源。

SSL 证书

SSL 证书可确保整个 vSphere 环境中的通信安全。加密之前,客户端验证 SSL 握手阶段提供的证书的真实性。此验证可防止“中间人”攻击。

VMware 产品使用标准 X.509 版本 3 (X.509v3) 证书来加密通过组件之间的安全套接字层 (SSL) 协议连接发送的会话信息。

vSphere 组件中包含默认证书。可以将默认证书替换为自签名证书或 CA 签名的证书。对于 vCenter 核心组件,可以使用证书自动化工具。

SSH 密钥

SSH 密钥用于控制对使用 Secure Shell (SSH) 协议的 ESXi 主机的访问。请参见将 SSH 密钥上载到 ESXi 主机

密码强度

为了加密数据,发送组件(如网关或重定向程序)会应用加密算法或密码,在传输数据之前改变这些数据。接收组件使用密钥解密这些数据,将其还原为原始形式。目前有几种密码正在使用,每种密码提供的安全级别也有所差异。密码保护数据的能力的一种衡量方法是其密码强度,即加密密钥的位数。位数越大,密码越安全。

管理员在准备证书请求时会指定所需的密码强度。公司策略可能会规定管理员所选择的密码强度。

用于密钥交换的 256 位 AES 加密和 1024 位 RSA 是以下连接的默认值。

  • vSphere Web Client 通过管理界面到 vCenter ServerESXi 的连接。

  • SDK 与 vCenter ServerESXi 的连接。

  • 到虚拟机控制台的连接。

  • ESXi 的 直接 SSH 连接。