vSphere 6.0.x 包括 VMware 证书颁发机构 (VMCA)。默认情况下,VMCA 会生成 vSphere 环境中使用的所有内部证书,包括新添加的 ESXi 主机和用于管理或表示虚拟卷存储系统的存储 VASA 提供程序的证书。

与 VASA 提供程序的通信受 SSL 证书保护。这些证书可以来自 VASA 提供程序或 VMCA。

  • 证书既可直接源自 VASA 提供程序以供长期使用并且能够自生成和自签名,也可派生自外部证书颁发机构。

  • 证书可由 VMCA 生成以供 VASA 提供程序使用。

注册主机或 VASA 提供程序后,VMCA 会自动按照以下步骤操作,而无需 vSphere 管理员参与。

  1. 先将 VASA 提供程序添加到 vCenter Server 存储管理服务 (SMS) 后,它会生成自签名证书。

  2. 对证书进行验证后,SMS 会向 VASA 提供程序请求证书签名请求 (CSR)。

  3. 接收和验证 CSR 后,SMS 会代表 VASA 提供程序将其提供给 VMCA 以请求 CA 签名证书。

    VMCA 可配置为充当独立 CA 或充当企业 CA 的辅助机构。如果将 VMCA 设置为辅助 CA,则 VMCA 会通过整个链对 CSR 进行签名。

  4. 签名证书以及根证书将传递到 VASA 提供程序,以便在 vCenter ServerESXi 主机上对今后所有源自 SMS 的安全连接进行身份验证。