vSphere 包含 VMware Certificate Authority (VMCA)。默认情况下,VMCA 将创建 vSphere 环境中使用的所有内部证书。它会为新添加的 ESXi 主机以及管理或代表 Virtual Volumes 存储系统的存储 VASA 提供程序生成证书。

与 VASA 提供程序的通信受 SSL 证书保护。这些证书可以来自 VASA 提供程序或 VMCA。

  • 证书可以直接由 VASA 提供程序提供以供长期使用。证书可以自行生成和自行签名,也可以派生自外部证书颁发机构。

  • 证书可由 VMCA 生成以供 VASA 提供程序使用。

注册主机或 VASA 提供程序后,VMCA 会自动按照以下步骤操作,而无需 vSphere 管理员参与。

  1. 先将 VASA 提供程序添加到 vCenter Server 存储管理服务 (SMS) 后,它会生成自签名证书。

  2. 对证书进行验证后,SMS 会向 VASA 提供程序请求证书签名请求 (CSR)。

  3. 接收并验证 CSR 后,SMS 会代表 VASA 提供程序将其提供给 VMCA 以请求 CA 签名证书。

    VMCA 可配置为充当独立 CA 或充当企业 CA 的辅助机构。如果将 VMCA 设置为辅助 CA,则 VMCA 会通过完整链对 CSR 进行签名。

  4. 包含 root 证书的已签名证书将传递到 VASA 提供程序。VASA 提供程序可以对将来所有源自 vCenter ServerESXi 主机上的 SMS 的安全连接进行身份验证。