Im Lieferumfang von vSphere 6.0.x ist VMware Certificate Authority (VMCA) enthalten. VMCA generiert standardmäßig alle internen Zertifikate, die in der vSphere-Umgebung verwendet werden. Hierzu zählen auch Zertifikate für neu hinzugefügte ESXi-Hosts und VASA-Speicheranbieter, die VVOL-Speichersysteme verwalten oder repräsentieren.

Die Kommunikation mit dem VASA-Anbieter wird durch SSL-Zertifikate geschützt. Diese Zertifikate können vom VASA-Anbieter oder von VMCA stammen.

  • Zertifikate können direkt vom VASA-Anbieter für die langfristige Verwendung bereitgestellt werden und können entweder selbstgeneriert und selbstsigniert sein oder aber von einer externen Zertifizierungsstelle stammen.

  • Zertifikate können von VMCA für die Verwendung durch den VASA-Anbieter generiert werden.

Wenn ein Host oder VASA-Anbieter registriert ist, führt VMCA diese Schritte automatisch aus, ohne dass der vSphere-Administrator eingreifen muss.

  1. Wenn ein VASA-Anbieter erstmalig zum Speicherverwaltungsdienst (Storage Management Service, SMS) von vCenter Server hinzugefügt wird, wird ein selbstsigniertes Zertifikat erstellt.

  2. Nach der Überprüfung des Zertifikats fordert der Speicherverwaltungsdienst eine Zertifikatsignieranforderung (Certificate Signing Request, CSR) vom VASA-Anbieter an.

  3. Nach dem Empfang und der Überprüfung der CSR wird sie vom Speicherverwaltungsdienst im Namen des VASA-Anbieters gegenüber VMCA präsentiert und es wird ein von der Zertifizierungsstelle signiertes Zertifikat angefordert.

    VMCA kann als eigenständige Zertifizierungsstelle oder als untergeordnete Zertifizierungsstelle für eine Unternehmenszertifizierungsstelle konfiguriert werden. Wenn Sie VMCA als untergeordnete Zertifizierungsstelle einrichten, signiert VMCA die CSR mit der vollständigen Zertifizierungskette.

  4. Das signierte Zertifikat wird zusammen mit dem Rootzertifikat an den VASA-Anbieter übergeben, um damit alle zukünftigen sicheren Verbindungen, die vom Speicherverwaltungsdienst ausgehen, in vCenter Server und auf ESXi-Hosts authentifizieren zu können.