vSphere 通过使用证书来加密通信,对服务进行身份验证,以及对令牌进行签名来提供安全性。

vSphere 如何使用证书

vSphere 使用证书:
  • 对两个节点(例如 vCenter ServerESXi 主机)之间的通信进行加密。
  • 对 vSphere 服务进行身份验证。
  • 执行内部操作,如对令牌进行签名。

什么是 VMware Certificate Authority

vSphere 的内部证书颁发机构 VMware Certificate Authority (VMCA) 提供 vCenter ServerESXi 所需的所有证书。每一个 vCenter Server 主机上均安装了 VMCA,其可立即确保解决方案的安全,而不进行任何其他修改。保留此默认配置可为证书管理提供最低操作开销。vSphere 提供了一种机制,用于在这些证书过期时进行续订。

vSphere 还提供了一种机制,用于将某些证书替换为您自己的证书。但是,仅替换在节点之间提供加密的 SSL 证书,以保持较低的证书管理开销。

可通过哪些选项管理 vSphere 证书

建议使用以下选项管理证书。

表 1. 管理 vSphere 证书的建议选项
模式 描述 优势
VMCA 默认证书 VMCA 为 vCenter ServerESXi 主机提供所有证书。 最简单和最低开销。VMCA 可以管理 vCenter ServerESXi 主机的证书生命周期。
使用外部 SSL 证书的 VMCA 默认证书(混合模式) 替换 vCenter Server 的 SSL 证书,并允许 VMCA 管理解决方案用户和 ESXi 主机的证书。(可选)对于安全性很重要的部署,还可以替换 ESXi 主机的 SSL 证书。 简单且安全。VMCA 会管理内部证书,但您可以获得使用企业批准的 SSL 证书,并让浏览器信任这些证书的好处。

哪些工具可用于替换 vSphere 证书

可以使用以下选项替换现有证书。

表 2. 替换 vSphere 证书的不同方法
选项 请参见
使用 vSphere Client 使用 vSphere Client 管理证书
使用 vSphere Automation API 管理证书的生命周期。 《VMware vSphere Automation SDK 编程指南》
从命令行使用 vSphere Certificate Manager 实用程序。 使用 vSphere Certificate Manager 实用程序管理证书
使用 CLI 命令执行手动证书替换。 vSphere 证书和服务 CLI 命令参考