vSphere 通过使用证书来加密通信,对服务进行身份验证,以及对令牌进行签名来提供安全性。

vSphere 使用证书:
  • 两个节点之间的加密通信,例如 vCenter ServerESXi 主机之间。
  • 对 vSphere 服务进行身份验证。
  • 执行内部操作,如对令牌进行签名。

vSphere 的内部证书颁发机构 VMware Certificate Authority (VMCA) 提供 vCenter ServerESXi 所需的所有证书。每一个 Platform Services Controller 上均安装了 VMCA,其可立即确保解决方案的安全,而不进行任何其他修改。保留此默认配置可为证书管理提供最低操作开销。vSphere 提供了一种机制,用于在这些证书过期时进行续订。

vSphere 还提供了一种机制,用于将某些证书替换为您自己的证书。但是,仅替换在节点之间提供加密的 SSL 证书,以保持较低的证书管理开销。

建议使用以下选项管理证书。

表 1. 建议用于管理证书的选项
模式 描述 优势
VMCA 默认证书 VMCA 为 vCenter ServerESXi 主机提供所有证书。 最简单和最低开销。VMCA 可以管理 vCenter ServerESXi 主机的证书生命周期。
使用外部 SSL 证书的 VMCA 默认证书(混合模式) 替换 Platform Services ControllervCenter Server Appliance 的 SSL 证书,并允许 VMCA 管理解决方案用户和 ESXi 主机的证书。(可选)对于安全性很重要的部署,还可以替换 ESXi主机的 SSL 证书。 简单且安全。VMCA 会管理内部证书,但您可以获得使用企业批准的 SSL 证书,并让浏览器信任这些证书的好处。

VMware 建议,既不要替换解决方案用户证书或 STS 证书,也不要使用辅助 CA 取代 VMCA。如果选择任意一种选项,您都可能会遇到很大复杂性和对安全产生负面影响的可能性,以及不必要地提高操作风险。有关管理 vSphere 环境内的证书的更多信息,请参见标题为 New Product Walkthrough - Hybrid vSphere SSL Certificate Replacement 的博客帖子,网址为 http://vmware.com/go/hybridvmca

可以使用以下选项替换现有证书:

表 2. 不同的证书替换方法
选项 请参见
使用 vSphere Client。从 vSphere 6.7 开始,将通过 vSphere Client 管理 Platform Services Controller。 使用 vSphere Client 管理证书
从命令行使用 vSphere Certificate Manager 实用程序。 使用 vSphere 证书管理器实用程序管理证书
使用 CLI 命令执行手动证书替换。 使用 CLI 命令管理服务和证书