In der vSphere-Umgebung werden verschiedene Zertifikatstypen für unterschiedliche Zwecke verwendet.

Vom vCenter Single Sign On-STS-Dienst ausgestellte SAML-Token

Mithilfe von STS-Zertifikaten können Benutzer, die sich über vCenter Single Sign On angemeldet haben, jeden von vCenter Single Sign On unterstützten vCenter-Dienst verwenden, ohne sich separat authentifizieren zu müssen. Der STS-Dienst gibt Security Assertion Markup Language-Token (SAML) aus. Diese Sicherheitstoken stellen die Identität des Benutzers in einem der von vCenter Single Sign On unterstützten Identitätsquellentypen dar. Weitere Informationen hierzu finden Sie unter So schützt vCenter Single Sign-On Ihre Umgebung.

Der vCenter Single Sign On-Dienst stellt einen Identitätsanbieter bereit, der SAML-Token ausstellt, die in der gesamten vSphere-Umgebung zu Authentifizierungszwecken verwendet werden. Bei einem SAML-Token handelt es sich um XML-Code, der die Identität des Benutzers (Benutzername, Vorname, Nachname) darstellt. Darüber hinaus enthält das SAML-Token Gruppenmitgliedschaftsinformationen, sodass das SAML-Token für Autorisierungsvorgänge verwendet werden könnte. Wenn vCenter Single Sign On SAML-Token ausstellt, wird jedes Token in der Zertifikatskette signiert, damit Clients von vCenter Single Sign On sicherstellen können, dass das SAML-Token aus einer vertrauenswürdigen Quelle stammt.

SSL-Zertifikate

SSL-Zertifikate sorgen in der gesamten vSphere-Umgebung für die sichere Kommunikation. Vor der Verschlüsselung überprüft der Client die Echtheit des Zertifikats, das während der SSL-Handshake-Phase präsentiert wird. Diese Überprüfung schützt vor so genannten Man-in-the-Middle-Angriffen.

VMware-Produkte verwenden X.509 Version 3 (X.509v3)-Standardzertifikate für die Verschlüsselung von Sitzungsinformationen, die über SSL-Protokollverbindungen zwischen den Komponenten übertragen werden.

vSphere-Komponenten enthalten Standardzertifikate. Sie können die Standardzertifikate durch selbstsignierte Zertifikate oder von einer Zertifizierungsstelle (CA) signierte Zertifikate ersetzen. Für die vCenter-Hauptkomponenten können Sie das Certificate Automation Tool verwenden.

SSH-Schlüssel

Mithilfe von SSH-Schlüsseln wird der Zugriff auf die ESXi-Hosts gesteuert, die das SSH-Protokoll (Secure Shell) verwenden. Weitere Informationen hierzu finden Sie unter Hochladen eines SSH-Schlüssels auf Ihren ESXi-Host.

Schlüsselqualität

Zur Verschlüsselung verwendet die sendende Komponente, zum Beispiel ein Gateway oder ein Redirector, kryptographische Algorithmen (sog. Schlüssel), um die Daten zu ändern, bevor sie übertragen werden. Die Zielkomponente verwendet dann einen Schlüssel, um die Daten zu entschlüsseln und sie in ihre ursprüngliche Form zu bringen. Mehrere Schlüssel werden verwendet. Die Sicherheitsebene jedes dieser Schlüssel ist unterschiedlich. Ein Maß zur Bestimmung der Datenschutzfähigkeit eines Schlüssels ist die Schlüsselqualität, d. h. die Anzahl der Bits im Verschlüsselungsschlüssel. Je höher diese Anzahl ist, desto sicherer ist der Schlüssel.

Administratoren legen die gewünschte Schlüsselqualität bei der Vorbereitung einer Zertifikatanforderung fest. Die vom Administrator ausgewählte Schlüsselqualität wird möglicherweise von der Unternehmensrichtlinie vorgegeben.

256-Bit-AES-Verschlüsselung und 1024-Bit-RSA für den Schlüsselaustausch sind der Standard für die folgenden Verbindungen.

  • vSphere Web Client-Verbindungen zu vCenter Server und zu ESXi über die Verwaltungsschnittstelle.

  • SDK-Verbindungen zu vCenter Server und zu ESXi.

  • Verbindungen zur Konsole der virtuellen Maschine.

  • Direkte SSH-Verbindungen zu ESXi.