在 vSphere 6.0 及更高版本中,VMware 证书颁发机构 (VMCA) 会使用证书置备您的环境。这些证书包括用于安全连接的计算机 SSL 证书,对 vCenter Single Sign-On 进行身份验证的解决方案用户证书,以及已添加到 vCenter ServerESXi 主机的证书。

以下证书正在使用中。

表 1. vSphere 6.0 中的证书

证书

置备方式

已存储

ESXi 证书

VMCA(默认)

ESXi 主机本地

计算机 SSL 证书

VMCA(默认)

VECS

解决方案用户证书

VMCA(默认)

VECS

vCenter Single Sign-On SSL 签名证书

在安装期间置备。

vSphere Web Client 中管理此证书。

警告:

请勿在文件系统中更改此证书,否则可能导致不可预知的行为结果。

VMware Directory Service (vmdir) SSL 证书

在安装期间置备。

在某些个别案例中,您可能必须替换此证书。请参见替换 VMware Directory Service 证书

ESXi

ESXi 证书存储在每个主机本地中的 /etc/vmware/ssl 目录下。默认情况下,ESXi 证书由 VMCA 置备,但也可以使用自定义证书。当首次将主机添加到 vCenter Server 时以及当主机重新连接时,会置备 ESXi 证书。

计算机 SSL 证书

每个节点的计算机 SSL 证书用于在 SSL 客户端连接到的服务器端上创建 SSL 套接字。该证书用于服务器验证和安装通信,如 HTTPS 或 LDAPS。

所有服务通过反向代理进行通信。出于兼容性考虑,之前版本的 vSphere 中可用的服务也使用特定端口。例如,vpxd 服务使用 MACHINE_SSL_CERT 公开其端点。

每个节点(嵌入式部署、管理节点或 Platform Services Controller)均拥有其各自的计算机 SSL 证书。该节点上正在运行的所有服务均使用此计算机 SSL 证书公开其 SSL 端点。

计算机 SSL 证书使用情况如下:

  • Platform Services Controller 节点上的反向代理服务使用。与各个 vCenter 服务的 SSL 连接始终会转到反向代理。流量不会转到服务自身。

  • 由管理节点和嵌入式节点上的 vCenter 服务 (vpxd) 使用。

  • 由基础架构节点和嵌入式节点上的 VMware Directory Service (vmdir) 使用。

VMware 产品使用标准 X.509 版本 3 (X.509v3) 证书来加密通过组件之间的 SSL 发送的会话信息。

解决方案用户证书

解决方案用户封装一个或多个 vCenter Server 服务,并通过 SAML 令牌交换使用证书对 vCenter Single Sign-On 进行身份验证。每个解决方案用户都必须对 vCenter Single Sign-On 进行身份验证。

解决方案用户证书用于对 vCenter Single Sign-On 进行身份验证。在首次必须进行身份验证时,在重新引导后以及在超时结束后,解决方案用户向 vCenter Single Sign-On 提供证书。可以在 vSphere Web Client 中设置超时(密钥所有者超时),默认值为 2592000 秒(30 天)。

例如,在连接到 vCenter Single Sign-On 时,vpxd 解决方案用户向 vCenter Single Sign-On 提供其证书。vpxd 解决方案用户从 vCenter Single Sign-On 收到一个 SAML 令牌,然后使用该令牌对其他解决方案用户和服务进行身份验证。

以下解决方案用户证书存储包括在每个管理节点和每个嵌入式部署的 VECS 中:

  • machine:由组件管理器、许可证服务器和日志记录服务使用。

    注:

    计算机解决方案用户证书与计算机 SSL 证书没有任何关系。计算机解决方案用户证书用于进行 SAML 令牌交换;计算机 SSL 证书用于计算机的安全 SSL 连接。

  • vpxd:vCenter 服务守护程序 (vpxd) 库位于管理节点和嵌入式部署上。vpxd 使用此库中存储的解决方案用户证书对 vCenter Single Sign-On 进行身份验证。

  • vpxd-extensions:vCenter 扩展库。包括 Auto Deploy 服务、Inventory Service 以及不属于其他解决方案用户的其他服务。

  • vsphere-webclientvSphere Web Client 库。还包括其他一些服务,例如性能图表服务。

此计算机库还包括在每个 Platform Services Controller 节点中。

vCenter Single Sign-On 证书

vCenter Single Sign-On 证书未存储在 VECS 中,并且未使用证书管理工具进行管理。一般说来,无需进行更改,但在特殊情况下,可以替换这些证书。

vCenter Single Sign-On 签名证书

vCenter Single Sign-On 服务包括身份提供程序服务,该提供程序可发布用于在整个 vSphere 进行身份验证的 SAML 令牌。SAML 令牌表示用户的身份,还包含组成员资格信息。在 vCenter Single Sign-On 发布 SAML 令牌时,它将使用其签名证书对每个令牌进行签名,以便vCenter Single Sign-On 的客户端可以验证 SAML 令牌是否来自可信源。

vCenter Single Sign-On 向解决方案用户发布密钥所有者 SAML 令牌并向其他用户发布持有者令牌,使用用户名和密码进行登录。

可以在 vSphere Web Client 中替换此证书。请参见刷新安全令牌服务证书

VMware Directory Service SSL 证书

如果使用的是自定义证书,可能必须明确地替换 VMware Directory Service SSL 证书。请参见替换 VMware Directory Service 证书