在 vSphere 6.0 及更高版本中,VMware Certificate Authority (VMCA) 会使用证书置备您的环境。证书包括用于安全连接的计算机 SSL 证书,对 vCenter Single Sign-On 进行服务身份验证的解决方案用户证书,以及 ESXi 主机的证书。

以下证书正在使用中。
表 1. vSphere 6.0 及更高版本中的证书
证书 已置备 备注
ESXi 证书 VMCA(默认) 存储在 ESXi 主机本地
计算机 SSL 证书 VMCA(默认) 存储在 VECS 中
解决方案用户证书 VMCA(默认) 存储在 VECS 中
vCenter Single Sign-On SSL 签名证书 在安装期间置备。 vSphere Web Client 中管理此证书。
警告: 请勿在文件系统中更改此证书,否则可能导致不可预知的行为结果。
VMware Directory Service (VMDIR) SSL 证书 在安装期间置备。 从 vSphere 6.5 开始,计算机 SSL 证书将被用作 vmdir 证书。

ESXi

ESXi 证书存储在每个主机本地中的 /etc/vmware/ssl 目录下。默认情况下,ESXi 证书由 VMCA 置备,但也可以使用自定义证书。当首次将主机添加到 vCenter Server 时以及当主机重新连接时,会置备 ESXi 证书。

计算机 SSL 证书

每个节点的计算机 SSL 证书用于在服务器端上创建 SSL 套接字。SSL 客户端连接到 SSL 套接字。该证书用于服务器验证和安装通信,如 HTTPS 或 LDAPS。

每个节点都有自己的计算机 SSL 证书。节点包括 vCenter Server 实例、Platform Services Controller 实例或嵌入式部署实例。节点上正在运行的所有服务均使用该计算机 SSL 证书公开其 SSL 端点。

以下服务使用该计算机 SSL 证书。
  • Platform Services Controller 节点上的反向代理服务。与各个 vCenter 服务的 SSL 连接始终会转到反向代理。流量不会转到服务自身。
  • 管理节点和嵌入式节点上的 vCenter 服务 (vpxd)。
  • 基础架构节点和嵌入式节点上的 VMware Directory Service (vmdir)。

VMware 产品使用标准 X.509 版本 3 (X.509v3) 证书来加密会话信息。会话信息通过组件之间的 SSL 发送。

解决方案用户证书

解决方案用户封装一个或多个 vCenter Server 服务。每个解决方案用户都必须对 vCenter Single Sign-On 进行身份验证。解决方案用户通过 SAML 令牌交换使用证书对 vCenter Single Sign-On 进行身份验证。

在首次必须进行身份验证时,在重新引导后以及在超时结束后,解决方案用户向 vCenter Single Sign-On 提供证书。可以在 vSphere Web ClientPlatform Services Controller Web 界面中设置超时(密钥所有者超时),默认值为 2592000 秒(30 天)。

例如,在连接到 vCenter Single Sign-On 时,vpxd 解决方案用户向 vCenter Single Sign-On 提供其证书。vpxd 解决方案用户从 vCenter Single Sign-On 收到一个 SAML 令牌,然后使用该令牌对其他解决方案用户和服务进行身份验证。

以下解决方案用户证书存储包括在每个管理节点和每个嵌入式部署的 VECS 中:

  • machine:由组件管理器、许可证服务器和日志记录服务使用。
    注: Machine 解决方案用户证书与计算机 SSL 证书没有任何关系。计算机解决方案用户证书用于进行 SAML 令牌交换。计算机 SSL 证书用于计算机的安全 SSL 连接。
  • vpxd:vCenter 服务守护程序 (vpxd) 存储位于管理节点和嵌入式部署上。vpxd 使用此存储中存储的解决方案用户证书对 vCenter Single Sign-On 进行身份验证。
  • vpxd-extension:vCenter 扩展存储。包括 Auto Deploy 服务、Inventory Service 以及不属于其他解决方案用户的其他服务。
  • vsphere-webclientvSphere Web Client 存储。还包括其他一些服务,例如性能图表服务。

每个 Platform Services Controller节点包含一个 machine 证书。

内部证书

vCenter Single Sign-On 证书未存储在 VECS 中,并且未使用证书管理工具进行管理。一般说来,无需进行更改,但在特殊情况下,可以替换这些证书。
vCenter Single Sign-On 签名证书
vCenter Single Sign-On 服务包括身份提供程序服务,该提供程序可发布用于在整个 vSphere 进行身份验证的 SAML 令牌。SAML 令牌表示用户的身份,还包含组成员资格信息。在 vCenter Single Sign-On 发布 SAML 令牌时,它将使用其签名证书对每个令牌进行签名,以便 vCenter Single Sign-On 的客户端可以验证 SAML 令牌是否来自可信源。
vCenter Single Sign-On 向解决方案用户发布密钥所有者 SAML 令牌并向其他用户发布持有者令牌,使用用户名和密码进行登录。
可以在 vSphere Web Client 中替换此证书。请参见 刷新 Security Token Service 证书
VMware Directory Service SSL 证书
从 vSphere 6.5 开始,计算机 SSL 证书将被用作 VMware 目录证书。对于 vSphere 的早期版本,请参见相应的文档。
vSphere 虚拟机加密证书
vSphere 虚拟机加密解决方案与外部密钥管理服务器 (KMS) 连接。根据该解决方案对 KMS 进行身份验证的方式,可能会生成证书并将其存储在 VECS 中。请参见 vSphere 安全性文档。