VMware Certificate Authority (VMCA) 会为您的环境置备证书。证书包括用于安全连接的计算机 SSL 证书,对 vCenter Single Sign-On 进行服务身份验证的解决方案用户证书,以及 ESXi 主机的证书。

以下证书正在使用中。
表 1. vSphere 中的证书
证书 已置备 备注
ESXi 证书 VMCA(默认) 存储在 ESXi 主机本地。
计算机 SSL 证书 VMCA(默认) 存储在 VECS 中。
解决方案用户证书 VMCA(默认) 存储在 VECS 中。
vCenter Single Sign-On SSL 签名证书 在安装期间置备。 从命令行管理此证书。
注: 请勿在文件系统中更改此证书,否则可能导致不可预知的行为结果。
VMware Directory Service (VMDIR) SSL 证书 在安装期间置备。 从 vSphere 6.5 开始,计算机 SSL 证书将被用作 vmdir 证书。
SMS 自签名证书 已在注册 IOFilter Provider 期间置备。 在 vSphere 7.0 及更高版本中,SMS 自签名证书存储在 /etc/vmware/ssl/iofiltervp_castore.pem 中。在 vSphere 7.0 之前,SMS 自签名证书存储在 /etc/vmware/ssl/castore.pem 中。此外,当 retainVasaProviderCertificate=True 时,SMS Store 还可以存储 VVOL VASA Provider(版本 4.0 及更低版本)的自签名证书。

ESXi

ESXi 证书存储在每个主机本地中的 /etc/vmware/ssl 目录下。默认情况下,ESXi 证书由 VMCA 置备,但也可以使用自定义证书。当首次将主机添加到 vCenter Server 时以及当主机重新连接时,会置备 ESXi 证书。

计算机 SSL 证书

每个节点的计算机 SSL 证书用于在服务器端上创建 SSL 套接字。SSL 客户端连接到 SSL 套接字。该证书用于服务器验证和安装通信,如 HTTPS 或 LDAPS。

每个 vCenter Server 节点都有自己的计算机 SSL 证书。vCenter Server 节点上正在运行的所有服务均使用该计算机 SSL 证书公开其 SSL 端点。

以下服务使用该计算机 SSL 证书。
  • 反向代理服务。与各个 vCenter 服务的 SSL 连接始终会转到反向代理。流量不会转到服务自身。
  • vCenter Server 服务 (vpxd)。
  • VMware Directory Service (vmdir)。

VMware 产品使用标准 X.509 版本 3 (X.509v3) 证书来加密会话信息。会话信息通过组件之间的 SSL 发送。

解决方案用户证书

解决方案用户封装一个或多个 vCenter Server 服务。每个解决方案用户都必须对 vCenter Single Sign-On 进行身份验证。解决方案用户通过 SAML 令牌交换使用证书对 vCenter Single Sign-On 进行身份验证。

在首次必须进行身份验证时,在重新引导后以及在超时结束后,解决方案用户向 vCenter Single Sign-On 提供证书。可以在 vSphere Client 中设置超时(密钥所有者超时),默认值为 2592000 秒(30 天)。

例如,在连接到 vCenter Single Sign-On 时,vpxd 解决方案用户向 vCenter Single Sign-On 提供其证书。vpxd 解决方案用户从 vCenter Single Sign-On 收到一个 SAML 令牌,然后使用该令牌对其他解决方案用户和服务进行身份验证。

VECS 中包含以下解决方案用户证书存储:

  • machine:由 License Server 和日志记录服务使用。
    注: Machine 解决方案用户证书与计算机 SSL 证书没有任何关系。计算机解决方案用户证书用于进行 SAML 令牌交换。计算机 SSL 证书用于计算机的安全 SSL 连接。
  • vpxd:vCenter 服务守护进程 (vpxd) 存储。vpxd 使用存储在此存储中的解决方案用户证书对 vCenter Single Sign-On 进行身份验证。
  • vpxd-extension:vCenter 扩展存储。包括 Auto Deploy 服务、Inventory Service 以及不属于其他解决方案用户的其他服务。
  • vsphere-webclientvSphere Client 存储。还包括其他一些服务,例如性能图表服务。
  • wcp:VMware vSphere® 和 VMware Tanzu™ 存储。

内部证书

vCenter Single Sign-On 证书未存储在 VECS 中,并且未使用证书管理工具进行管理。一般说来,无需进行更改,但在特殊情况下,可以替换这些证书。
vCenter Single Sign-On 签名证书
vCenter Single Sign-On 服务包括身份提供程序服务,该提供程序可发布用于在整个 vSphere 进行身份验证的 SAML 令牌。SAML 令牌表示用户的身份,还包含组成员资格信息。在 vCenter Single Sign-On 发布 SAML 令牌时,它将使用其签名证书对每个令牌进行签名,以便 vCenter Single Sign-On 的客户端可以验证 SAML 令牌是否来自可信源。
可以从 CLI 替换此证书。请参见 使用命令行替换 vCenter Server STS 证书
VMware Directory Service SSL 证书
从 vSphere 6.5 开始,计算机 SSL 证书将被用作 VMware 目录证书。对于 vSphere 的早期版本,请参见相应的文档。
vSphere 虚拟机加密证书
vSphere 虚拟机加密解决方案与外部密钥管理服务器 (KMS) 连接。根据该解决方案对 KMS 进行身份验证的方式,可能会生成证书并将其存储在 VECS 中。请参见 《vSphere 安全性》文档。