Ab vSphere 6.0 stellt die VMware Certificate Authority (VMCA) Zertifikate für Ihre Umgebung bereit. Zu den Zertifikaten zählen Maschinen-SSL-Zertifikate für sichere Verbindungen, Lösungsbenutzerzertifikate für die Authentifizierung von Diensten bei vCenter Single Sign On und Zertifikate für ESXi-Hosts.

Die folgenden Zertifikate werden verwendet.

Tabelle 1. Zertifikate in vSphere 6.0

Zertifikat

Bereitgestellt

Anmerkungen

ESXi-Zertifikate

VMCA (Standard)

Lokal auf dem ESXi-Host gespeichert

Maschinen-SSL-Zertifikate

VMCA (Standard)

In VECS gespeichert

Lösungsbenutzerzertifikate

VMCA (Standard)

In VECS gespeichert

vCenter Single Sign On-SSL-Signaturzertifikat

Bereitgestellt während der Installation.

Verwalten Sie dieses Zertifikat über den vSphere Web Client.

WARNUNG:

Dieses Zertifikat sollten Sie nicht im Dateisystem ändern, da dies zu unvorhersehbarem Verhalten führen kann.

SSL-Zertifikat für VMware Directory Service (VMDIR)

Bereitgestellt während der Installation.

Ab vSphere 6.5 wird das Maschinen-SSL-Zertifikat als vmdir-Zertifikat verwendet.

ESXi

ESXi-Zertifikate werden lokal auf jedem Host im Verzeichnis /etc/vmware/ssl gespeichert. ESXi-Zertifikate werden standardmäßig durch VMCA bereitgestellt, aber Sie können stattdessen benutzerdefinierte Zertifikate verwenden. ESXi-Zertifikate werden bereitgestellt, wenn der Host erstmalig zu vCenter Server hinzugefügt wird und wenn der Host erneut eine Verbindung herstellt.

Maschinen-SSL-Zertifikate

Mit dem Maschinen-SSL-Zertifikat für jeden Knoten wird ein SSL-Socket auf der Serverseite erstellt. SSL-Clients stellen eine Verbindung zum SSL-Socket her. Dieses Zertifikat wird für die Serverüberprüfung und für die sichere Kommunikation (z. B. HTTPS oder LDAPS) verwendet.

Jeder Knoten verfügt über ein eigenes Maschinen-SSL-Zertifikat. Zu den Knoten gehören die vCenter Server-Instanz, die Platform Services Controller-Instanz oder die eingebettete Bereitstellungsinstanz. Alle Dienste, die auf einem Knoten ausgeführt werden, verwenden dieses Maschinen-SSL-Zertifikat, um die SSL-Endpoints verfügbar zu machen.

Die folgenden Dienste verwenden das Maschinen-SSL-Zertifikat:

  • Der Reverse-Proxy-Dienst auf jedem Platform Services Controller-Knoten. SSL-Verbindungen zu einzelnen vCenter-Diensten werden stets an den Reverse-Proxy weitergeleitet. Der Datenverkehr wird nicht an die Dienste selbst weitergeleitet.

  • Der vCenter-Dienst (vpxd) auf Verwaltungsknoten und eingebetteten Knoten.

  • Der VMware Directory Service (vmdir) auf Infrastrukturknoten und eingebetteten Knoten.

VMware-Produkte verwenden X.509 Version 3 (X.509v3)-Standardzertifikate zur Verschlüsselung von Sitzungsinformationen. Die Sitzungsinformationen werden über SSL zwischen den Komponenten gesendet.

Lösungsbenutzerzertifikate

Ein Lösungsbenutzer kapselt einen oder mehrere vCenter Server-Dienste. Jeder Lösungsbenutzer muss bei vCenter Single Sign On authentifiziert werden. Lösungsbenutzer verwenden Zertifikate zur Authentifizierung bei vCenter Single Sign On über den Austausch von SAML-Token.

Ein Lösungsbenutzer präsentiert vCenter Single Sign On das Zertifikat bei der erstmaligen Authentifizierung, nach einem Neustart sowie nach Ablauf einer Zeitüberschreitung. Die Zeitüberschreitung (Holder-of-Key-Zeitüberschreitung) kann über die vSphere Web Client- oder die Platform Services Controller-Webschnittstelle festgelegt werden und ist standardmäßig auf 2592000 Sekunden (30 Tage) eingestellt.

Beispielsweise präsentiert der vpxd-Lösungsbenutzer vCenter Single Sign On sein Zertifikat, wenn die Verbindung zu vCenter Single Sign On hergestellt wird. Der vpxd-Lösungsbenutzer erhält von vCenter Single Sign On ein SAML-Token und kann sich dann damit bei anderen Lösungsbenutzern und Diensten authentifizieren.

Die folgenden Lösungsbenutzer-Zertifikatspeicher sind in VECS für jeden Verwaltungsknoten und für jede eingebettete Bereitstellung enthalten:

  • machine: Wird vom Komponentenmanager, Lizenzserver und Protokollierungsdienst verwendet.

    Anmerkung:

    Das Lösungsbenutzerzertifikat „machine“ hat nichts mit dem SSL-Zertifikat „machine“ zu tun. Das Lösungsbenutzerzertifikat „machine“ wird für den Austausch von SAML-Tokens verwendet. Das SSL-Zertifikat „machine“ wird für sichere SSL-Verbindungen für eine Maschine verwendet.

  • vpxd: vCenter-Dienst-Daemon (vpxd)-Speicher für Verwaltungsknoten und eingebettete Bereitstellungen. vpxd verwendet das in diesem Speicher gespeicherte Lösungsbenutzerzertifikat für die Authentifizierung bei vCenter Single Sign On.

  • vpxd-extensions: vCenter-Erweiterungsspeicher. Enthält den Auto Deploy-Dienst, den Inventory Service und sonstige Dienste, die nicht Bestandteil anderer Lösungsbenutzer sind.

  • vsphere-webclient: vSphere Web Client-Speicher. Enthält auch zusätzliche Dienste wie etwa den Leistungsdiagrammdienst.

Jeder Platform Services Controller-Knoten enthält ein machine-Zertifikat.

Interne Zertifikate

vCenter Single Sign On-Zertifikate werden nicht in VECS gespeichert und werden nicht mit Zertifikatsverwaltungstools verwaltet. Im Allgemeinen gilt, dass keine Änderungen erforderlich sind, aber in speziellen Situationen können Sie diese Zertifikate ersetzen.

vCenter Single Sign On-Signaturzertifikat

Der vCenter Single Sign On-Dienst enthält einen Identitätsanbieterdienst, der SAML-Token ausstellt, die in der gesamten vSphere-Umgebung zu Authentifizierungszwecken verwendet werden. Ein SAML-Token repräsentiert die Identität des Benutzers und enthält außerdem Gruppenmitgliedschaftsinformationen. Wenn vCenter Single Sign On SAML-Token ausstellt, wird jedes Token mit dem Signaturzertifikat signiert, damit Clients von vCenter Single Sign On sicherstellen können, dass das SAML-Token aus einer vertrauenswürdigen Quelle stammt.

vCenter Single Sign On stellt Lösungsbenutzern Holder-of-Key-SAML-Token sowie anderen Benutzern Bearer-Token aus, die sich mit einem Benutzernamen und einem Kennwort anmelden.

Dieses Zertifikat können Sie über den vSphere Web Client ersetzen. Weitere Informationen hierzu finden Sie unter Aktualisieren des Zertifikats für den Security Token Service.

VMware Directory Service-SSL-Zertifikat

Ab vSphere 6.5 wird das Maschinen-SSL-Zertifikat als VMware-Verzeichniszertifikat verwendet. Informationen zu früheren Versionen von vSphere finden Sie in der entsprechenden Dokumentation.

Verschlüsselungszertifikate der virtuellen vSphere-Maschine

Die Verschlüsselungslösung der virtuellen vSphere-Maschine stellt eine Verbindung zu einem externen Schlüsselmanagementserver (Key Management Server, KMS) her. Je nachdem, wie sich die Lösung beim KMS authentifiziert, generiert sie möglicherweise Zertifikate und speichert diese in VECS. Informationen finden Sie in der Dokumentation vSphere-Sicherheit.