vSphere 通过使用证书来加密通信,对服务进行身份验证,以及对令牌进行签名来提供安全性。

vSphere 使用证书:

  • 两个节点之间的加密通信,例如 vCenter ServerESXi 主机之间。

  • 对 vSphere 服务进行身份验证。

  • 执行内部操作,如对令牌进行签名。

vSphere 的内部证书颁发机构 VMware Certificate Authority (VMCA) 提供 vCenter ServerESXi 所需的所有证书。每一个Platform Services Controller上均安装了 VMCA,其可立即确保解决方案的安全,而不进行任何其他修改。保留此默认配置可为证书管理提供最低操作开销。vSphere 提供了一种机制,用于在这些证书过期时进行续订。

vSphere 还提供了一种机制,用于将某些证书替换为您自己的证书。但是,仅替换在节点之间提供加密的 SSL 证书,以保持较低的证书管理开销。

建议使用以下选项管理证书。

表 1. 建议用于管理证书的选项

模式

描述

优势

VMCA 默认证书

VMCA 为 vCenter ServerESXi 主机提供所有证书。

最简单和最低开销。VMCA 可以管理 vCenter ServerESXi 主机的证书生命周期。

使用外部 SSL 证书的 VMCA 默认证书(混合模式)

替换 Platform Services ControllervCenter Server Appliance 的 SSL 证书,并允许 VMCA 管理解决方案用户和ESXi 主机的证书。(可选)对于安全性很重要的部署,还可以替换 ESXi主机的 SSL 证书。

简单且安全。VMCA 会管理内部证书,但您可以获得使用企业批准的 SSL 证书,并让浏览器信任这些证书的好处。

VMware 建议,既不要替换解决方案用户证书或 STS 证书,也不要使用辅助 CA 取代 VMCA。如果选择任意一种选项,您都可能会遇到很大复杂性和对安全产生负面影响的可能性,以及不必要地提高操作风险。有关管理 vSphere 环境内的证书的更多信息,请参见标题为 New Product Walkthrough - Hybrid vSphere SSL Certificate Replacement 的博客帖子,网址为 http://vmware.com/go/hybridvmca

可以使用以下选项替换现有证书:

表 2. 不同的证书替换方法

选项

请参见

使用 Platform Services Controller Web 界面(vSphere 6.0 Update 1 及更高版本)。

使用 Platform Services Controller Web 界面管理证书

从命令行使用 vSphere 证书管理器实用程序。

使用 vSphere 证书管理器实用程序管理证书

使用 CLI 命令执行手动证书替换。

使用 CLI 命令管理服务和证书