vSphere 包含 VMware Certificate Authority (VMCA)。默认情况下,VMCA 将创建 vSphere 环境中使用的所有内部证书。它会为新添加的 ESXi 主机以及管理或代表 Virtual Volumes 存储系统的存储 VASA 提供程序生成证书。
与 VASA 提供程序的通信受 SSL 证书保护。这些证书可以来自 VASA 提供程序或 VMCA。
- 证书可以直接由 VASA 提供程序提供以供长期使用。证书可以自行生成和自行签名,也可以派生自外部证书颁发机构。
- 证书可由 VMCA 生成以供 VASA 提供程序使用。
注册主机或 VASA 提供程序后,VMCA 会自动按照以下步骤操作,而无需 vSphere 管理员参与。
- 先将 VASA 提供程序添加到 vCenter Server 存储管理服务 (SMS) 后,它会生成自签名证书。
- 对证书进行验证后,SMS 会向 VASA 提供程序请求证书签名请求 (CSR)。
- 接收并验证 CSR 后,SMS 会代表 VASA 提供程序将其提供给 VMCA 以请求 CA 签名证书。
VMCA 可配置为充当独立 CA 或充当企业 CA 的辅助机构。如果将 VMCA 设置为辅助 CA,则 VMCA 会通过完整链对 CSR 进行签名。
- 包含 root 证书的已签名证书将传递到 VASA 提供程序。VASA 提供程序可以对将来所有源自 vCenter Server 和 ESXi 主机上的 SMS 的安全连接进行身份验证。