VMware Certificate Authority (VMCA) 会为您的环境置备证书。证书包括用于安全连接的计算机 SSL 证书,对 vCenter Single Sign-On 进行服务身份验证的解决方案用户证书,以及 ESXi 主机的证书。
证书 | 已置备 | 备注 |
---|---|---|
ESXi 证书 | VMCA(默认) | 存储在 ESXi 主机本地。 |
计算机 SSL 证书 | VMCA(默认) | 存储在 VMware 端点证书存储 (VECS) 中。 |
解决方案用户证书 | VMCA(默认) | 存储在 VECS 中。 |
vCenter Single Sign-On SSL 签名证书 | 在安装期间置备。 | 从命令行管理此证书。
注: 请勿在文件系统中更改此证书,否则可能导致不可预知的行为结果。
|
VMware Directory Service (VMDIR) SSL 证书 | 在安装期间置备。 | 在 vSphere 6.5 及更高版本中,计算机 SSL 证书将被用作 vmdir 证书。 |
SMS 自签名证书 | 已在注册 IOFilter Provider 期间置备。 | 在 vSphere 7.0 及更高版本中,SMS 自签名证书存储在 /etc/vmware/ssl/iofiltervp_castore.pem 中。在 vSphere 7.0 之前,SMS 自签名证书存储在 /etc/vmware/ssl/castore.pem 中。此外,当 retainVasaProviderCertificate=True 时,SMS Store 还可以存储 VVOL VASA Provider(版本 4.0 及更低版本)的自签名证书。 |
ESXi 证书
ESXi 证书存储在每个主机本地中的 /etc/vmware/ssl 目录下。默认情况下,ESXi 证书由 VMCA 置备,但也可以使用自定义证书。当首次将主机添加到 vCenter Server 时以及当主机重新连接时,会置备 ESXi 证书。有关详细信息,请参见《vSphere 安全性》文档。
计算机 SSL 证书
每个节点的计算机 SSL 证书用于在服务器端上创建 SSL 套接字。SSL 客户端连接到 SSL 套接字。该证书用于服务器验证和安装通信,如 HTTPS 或 LDAPS。
每个 vCenter Server 节点都有自己的计算机 SSL 证书。vCenter Server 节点上正在运行的所有服务均使用该计算机 SSL 证书公开其 SSL 端点。
- 反向代理服务。与各个 vCenter 服务的 SSL 连接始终会转到反向代理。流量不会转到服务自身。
- vCenter Server 服务 (vpxd)。
- VMware Directory Service (vmdir)。
VMware 产品使用标准 X.509 版本 3 (X.509v3) 证书来加密会话信息。会话信息通过组件之间的 SSL 发送。
解决方案用户证书
解决方案用户封装一个或多个 vCenter Server 服务。每个解决方案用户都必须对 vCenter Single Sign-On 进行身份验证。解决方案用户通过 SAML 令牌交换使用证书对 vCenter Single Sign-On 进行身份验证。
在首次必须进行身份验证时,在重新引导后以及在超时结束后,解决方案用户向 vCenter Single Sign-On 提供证书。可以在 vSphere Client 中设置超时(密钥所有者超时),默认值为 2592000 秒(30 天)。
例如,在连接到 vCenter Single Sign-On 时,vpxd 解决方案用户向 vCenter Single Sign-On 提供其证书。vpxd 解决方案用户从 vCenter Single Sign-On 收到一个 SAML 令牌,然后使用该令牌对其他解决方案用户和服务进行身份验证。
VECS 中包含以下解决方案用户证书存储:
machine
:由 License Server 和日志记录服务使用。注: Machine 解决方案用户证书与计算机 SSL 证书没有任何关系。计算机解决方案用户证书用于进行 SAML 令牌交换。计算机 SSL 证书用于计算机的安全 SSL 连接。vpxd
:vCenter 服务守护进程 (vpxd) 存储。vpxd 使用存储在此存储中的解决方案用户证书对 vCenter Single Sign-On 进行身份验证。vpxd-extension
:vCenter 扩展存储。包括 Auto Deploy 服务、Inventory Service 以及不属于其他解决方案用户的其他服务。vsphere-webclient
:vSphere Client 存储。还包括其他一些服务,例如性能图表服务。wcp
:VMware vSphere® 和 VMware Tanzu™ 存储。也用于 vSphere 集群服务。
内部证书
- vCenter Single Sign-On 签名证书
- vCenter Single Sign-On 服务包括身份提供程序服务,该提供程序可发布用于在整个 vSphere 进行身份验证的 SAML 令牌。SAML 令牌表示用户的身份,还包含组成员资格信息。在 vCenter Single Sign-On 发布 SAML 令牌时,它将使用其签名证书对每个令牌进行签名,以便 vCenter Single Sign-On 的客户端可以验证 SAML 令牌是否来自可信源。
- VMware Directory Service SSL 证书
- 在 vSphere 6.5 及更高版本中,计算机 SSL 证书将被用作 VMware 目录证书。对于 vSphere 的早期版本,请参见相应的文档。
- vSphere 虚拟机加密证书
- vSphere 虚拟机加密解决方案与密钥服务器连接。根据该解决方案对密钥服务器进行身份验证的方式,可能会生成证书并将其存储在 VECS 中。请参见 《vSphere 安全性》文档。