vSphere 通过使用证书来加密通信,对服务进行身份验证,以及对令牌进行签名来提供安全性。
vSphere 如何使用证书
vSphere 使用证书:
- 对两个节点(例如 vCenter Server 和 ESXi 主机)之间的通信进行加密。
- 对 vSphere 服务进行身份验证。
- 执行内部操作,如对令牌进行签名。
什么是 VMware Certificate Authority
vSphere 的内部证书颁发机构 VMware Certificate Authority (VMCA) 提供 vCenter Server 和 ESXi 所需的所有证书。每一个 vCenter Server 主机上均安装了 VMCA,其可立即确保解决方案的安全,而不进行任何其他修改。保留此默认配置可为证书管理提供最低操作开销。vSphere 提供了一种机制,用于在这些证书过期时进行续订。
vSphere 还提供了一种机制,用于将某些证书替换为您自己的证书。但是,仅替换在节点之间提供加密的 SSL 证书,以保持较低的证书管理开销。
可通过哪些选项管理 vSphere 证书
建议使用以下选项管理证书。
| 模式 | 描述 | 优势 |
|---|---|---|
| VMCA 默认证书 | VMCA 为 vCenter Server 和 ESXi 主机提供所有证书。 | 最简单和最低开销。VMCA 可以管理 vCenter Server 和 ESXi 主机的证书生命周期。 |
| 使用外部 SSL 证书的 VMCA 默认证书(混合模式) | 替换 vCenter Server 的 SSL 证书,并允许 VMCA 管理解决方案用户和 ESXi 主机的证书。(可选)对于安全性很重要的部署,还可以替换 ESXi 主机的 SSL 证书。 | 简单且安全。VMCA 会管理内部证书,但您可以获得使用企业批准的 SSL 证书,并让浏览器信任这些证书的好处。 |
哪些工具可用于替换 vSphere 证书
可以使用以下选项替换现有证书。
| 选项 | 请参见 |
|---|---|
| 使用 vSphere Client。 | 使用 vSphere Client 管理证书 |
| 使用 vSphere Automation API 管理证书的生命周期。 | 《VMware vSphere Automation SDK 编程指南》 |
| 从命令行使用 vSphere Certificate Manager 实用程序。 | 使用 vSphere Certificate Manager 实用程序管理证书 |
| 使用 CLI 命令执行手动证书替换。 | vSphere 证书和服务 CLI 命令参考 |
