Ab vSphere 6.0 stellt die VMware-Zertifizierungsstelle (VMware Certificate Authority, VMCA) Zertifikate für Ihre Umgebung bereit. Hierzu zählen Maschinen-SSL-Zertifikate für sichere Verbindungen, Lösungsbenutzerzertifikate für die Authentifizierung bei vCenter Single Sign On und Zertifikate für ESXi-Hosts, die zu vCenter Server hinzugefügt werden.

Die folgenden Zertifikate werden verwendet.

Tabelle 1. Zertifikate in vSphere 6.0

Zertifikat

Bereitgestellt durch

Speicherort

ESXi-Zertifikate

VMCA (Standard)

Lokal auf ESXi-Host

Maschinen-SSL-Zertifikate

VMCA (Standard)

VECS

Lösungsbenutzerzertifikate

VMCA (Standard)

VECS

vCenter Single Sign On-SSL-Signaturzertifikat

Bereitgestellt während der Installation.

Verwalten Sie dieses Zertifikat über den vSphere Web Client.

WARNUNG:

Dieses Zertifikat sollten Sie nicht im Dateisystem ändern, da dies zu unvorhersehbarem Verhalten führen kann.

VMware-Verzeichnisdienst (vmdir)-SSL-Zertifikat

Bereitgestellt während der Installation.

In seltenen Fällen müssen Sie dieses Zertifikat möglicherweise ersetzen. Siehe Ersetzen des VMware-Verzeichnisdienstzertifikats.

ESXi

ESXi-Zertifikate werden lokal auf jedem Host im Verzeichnis /etc/vmware/ssl gespeichert. ESXi-Zertifikate werden standardmäßig durch VMCA bereitgestellt, aber Sie können stattdessen benutzerdefinierte Zertifikate verwenden. ESXi-Zertifikate werden bereitgestellt, wenn der Host erstmalig zu vCenter Server hinzugefügt wird und wenn der Host erneut eine Verbindung herstellt.

Maschinen-SSL-Zertifikate

Mit dem Maschinen-SSL-Zertifikat für jeden Knoten wird ein SSL-Socket auf der Serverseite erstellt, mit der SSL-Clients eine Verbindung herstellen. Dieses Zertifikat wird für die Serverüberprüfung und für die sichere Kommunikation (z. B. HTTPS oder LDAPS) verwendet.

Alle Dienste kommunizieren über den Reverse-Proxy. Aus Kompatibilitätsgründen verwenden Dienste aus früheren Versionen von vSphere auch bestimmte Ports. Beispielsweise verwendet der vpxd-Dienst MACHINE_SSL_CERT, um den Endpoint verfügbar zu machen.

Jeder Knoten (eingebettete Bereitstellung, Verwaltungsknoten oder Platform Services Controller) verwendet ein eigenes Maschinen-SSL-Zertifikat. Alle Dienste, die auf diesem Knoten ausgeführt werden, verwenden dieses Maschinen-SSL-Zertifikat, um die SSL-Endpoints verfügbar zu machen.

Das Maschinen-SSL-Zertifikat wird wie folgt verwendet:

  • Durch den Reverse-Proxy-Dienst auf jedem Platform Services Controller-Knoten. SSL-Verbindungen zu einzelnen vCenter-Diensten werden stets an den Reverse-Proxy weitergeleitet. Der Datenverkehr wird nicht an die Dienste selbst weitergeleitet.

  • Durch den vCenter-Dienst (vpxd) auf Verwaltungsknoten und eingebetteten Knoten.

  • Durch den VMware-Verzeichnisdienst (vmdir) auf Infrastrukturknoten und eingebetteten Knoten.

VMware-Produkte verwenden X.509 Version 3 (X.509v3)-Standardzertifikate für die Verschlüsselung von Sitzungsinformationen, die per SSL zwischen den Komponenten übertragen werden.

Lösungsbenutzerzertifikate

Ein Lösungsbenutzer kapselt einen oder mehrere vCenter Server-Dienste und verwendet die Zertifikate zum Authentifizieren bei vCenter Single Sign On über den Austausch von SAML-Token. Jeder Lösungsbenutzer muss bei vCenter Single Sign On authentifiziert werden.

Lösungsbenutzerzertifikate werden für die Authentifizierung bei vCenter Single Sign On verwendet. Ein Lösungsbenutzer präsentiert vCenter Single Sign On das Zertifikat bei der erstmaligen Authentifizierung, nach einem Neustart sowie nach Ablauf einer Zeitüberschreitung. Die Zeitüberschreitung (Holder-of-Key-Zeitüberschreitung) kann über den vSphere Web Client festgelegt werden und ist standardmäßig auf 2592000 Sekunden (30 Tage) eingestellt.

Beispielsweise präsentiert der vpxd-Lösungsbenutzer vCenter Single Sign On sein Zertifikat, wenn die Verbindung zu vCenter Single Sign On hergestellt wird. Der vpxd-Lösungsbenutzer erhält von vCenter Single Sign On ein SAML-Token und kann sich dann damit bei anderen Lösungsbenutzern und Diensten authentifizieren.

Die folgenden Lösungsbenutzer-Zertifikatspeicher sind in VECS für jeden Verwaltungsknoten und für jede eingebettete Bereitstellung enthalten:

  • machine: Wird vom Komponentenmanager, Lizenzserver und Protokollierungsdienst verwendet.

    Anmerkung:

    Das Lösungsbenutzerzertifikat „machine“ hat nichts mit dem SSL-Zertifikat „machine“ zu tun. Das Lösungsbenutzerzertifikat „machine“ wird für den Austausch von SAML-Tokens verwendet; das SSL-Zertifikat „machine“ wird für sichere SSL-Verbindungen für eine Maschine verwendet.

  • vpxd: vCenter-Dienst-Daemon (vpxd)-Speicher für Verwaltungsknoten und eingebettete Bereitstellungen. vpxd verwendet das in diesem Speicher gespeicherte Lösungsbenutzerzertifikat für die Authentifizierung bei vCenter Single Sign On.

  • vpxd-extensions: vCenter-Erweiterungsspeicher. Enthält den Auto Deploy-Dienst, den Inventory Service und sonstige Dienste, die nicht Bestandteil anderer Lösungsbenutzer sind.

  • vsphere-webclient: vSphere Web Client-Speicher. Enthält auch zusätzliche Dienste wie etwa den Leistungsdiagrammdienst.

Der Maschinenspeicher ist ebenfalls in jedem Platform Services Controller-Knoten enthalten.

vCenter Single Sign On-Zertifikate

vCenter Single Sign On-Zertifikate werden nicht in VECS gespeichert und werden nicht mit Zertifikatsverwaltungstools verwaltet. Im Allgemeinen gilt, dass keine Änderungen erforderlich sind, aber in speziellen Situationen können Sie diese Zertifikate ersetzen.

vCenter Single Sign On-Signaturzertifikat

Der vCenter Single Sign On-Dienst enthält einen Identitätsanbieterdienst, der SAML-Token ausstellt, die in der gesamten vSphere-Umgebung zu Authentifizierungszwecken verwendet werden. Ein SAML-Token repräsentiert die Identität des Benutzers und enthält außerdem Gruppenmitgliedschaftsinformationen. Wenn vCenter Single Sign On SAML-Token ausstellt, wird jedes Token mit dem Signaturzertifikat signiert, damit Clients von vCenter Single Sign On sicherstellen können, dass das SAML-Token aus einer vertrauenswürdigen Quelle stammt.

vCenter Single Sign On stellt Lösungsbenutzern Holder-of-Key-SAML-Token sowie anderen Benutzern Bearer-Token aus, die sich mit einem Benutzernamen und einem Kennwort anmelden.

Dieses Zertifikat können Sie über den vSphere Web Client ersetzen. Siehe Aktualisieren des Zertifikats für den Security Token Service.

VMware-Verzeichnisdienst-SSL-Zertifikat

Bei Verwendung benutzerdefinierter Zertifikate müssen Sie möglicherweise das VMware-Verzeichnisdienst-SSL-Zertifikat explizit ersetzen. Siehe Ersetzen des VMware-Verzeichnisdienstzertifikats.