vSphere 通过使用证书来加密通信,对服务进行身份验证,以及对令牌进行签名来提供安全性。
vSphere 使用证书:
- 两个节点之间的加密通信,例如 vCenter Server 和 ESXi 主机之间。
- 对 vSphere 服务进行身份验证。
- 执行内部操作,如对令牌进行签名。
vSphere 的内部证书颁发机构 VMware Certificate Authority (VMCA) 提供 vCenter Server和ESXi 所需的所有证书。每一个 Platform Services Controller 上均安装了 VMCA,其可立即确保解决方案的安全,而不进行任何其他修改。保留此默认配置可为证书管理提供最低操作开销。vSphere 提供了一种机制,用于在这些证书过期时进行续订。
vSphere 还提供了一种机制,用于将某些证书替换为您自己的证书。但是,仅替换在节点之间提供加密的 SSL 证书,以保持较低的证书管理开销。
建议使用以下选项管理证书。
| 模式 | 描述 | 优势 |
|---|---|---|
| VMCA 默认证书 | VMCA 为 vCenter Server和 ESXi 主机提供所有证书。 | 最简单和最低开销。VMCA 可以管理 vCenter Server 和 ESXi 主机的证书生命周期。 |
| 使用外部 SSL 证书的 VMCA 默认证书(混合模式) | 替换 Platform Services Controller 和 vCenter Server Appliance 的 SSL 证书,并允许 VMCA 管理解决方案用户和 ESXi 主机的证书。(可选)对于安全性很重要的部署,还可以替换 ESXi主机的 SSL 证书。 | 简单且安全。VMCA 会管理内部证书,但您可以获得使用企业批准的 SSL 证书,并让浏览器信任这些证书的好处。 |
VMware 建议,既不要替换解决方案用户证书或 STS 证书,也不要使用辅助 CA 取代 VMCA。如果选择任意一种选项,您都可能会遇到很大复杂性和对安全产生负面影响的可能性,以及不必要地提高操作风险。有关管理 vSphere 环境内的证书的更多信息,请参见标题为 New Product Walkthrough - Hybrid vSphere SSL Certificate Replacement 的博客帖子,网址为 http://vmware.com/go/hybridvmca。
可以使用以下选项替换现有证书:
| 选项 | 请参见 |
|---|---|
| 使用 Platform Services Controller Web 界面(vSphere 6.0 Update 1 及更高版本)。 | 使用 Platform Services Controller Web 界面管理证书 |
| 从命令行使用 vSphere Certificate Manager 实用程序。 | 使用 vSphere 证书管理器实用程序管理证书 |
| 使用 CLI 命令执行手动证书替换。 | 使用 CLI 命令管理服务和证书 |
