vSphere bietet Sicherheit mithilfe von Zertifikaten zur Verschlüsselung der Kommunikation, Authentifizierung von Diensten und Signierung von Token.

vSphere verwendet Zertifikate zu folgenden Zwecken:

  • Verschlüsseln der Kommunikationen zwischen zwei Knoten, wie z. B. vCenter Server und einem ESXi-Host.

  • Authentifizieren von vSphere-Diensten.

  • Durchführen interner Aktionen wie beispielsweise das Signieren von Token

Die interne Zertifizierungsstelle von vSphere, VMware Certificate Authority (VMCA), stellt alle für vCenter Server und ESXi erforderlichen Zertifikate zur Verfügung. VMCA wird auf jedem Platform Services Controller installiert und schützt die Lösung sofort und ohne weitere Änderung. Wenn die Standardkonfiguration beibehalten wird, ist der betriebliche Overhead für die Zertifikatverwaltung so gering wie möglich. vSphere bietet einen Mechanismus, durch den diese Zertifikate verlängert werden, wenn sie ablaufen.

Zudem bietet vSphere einen Mechanismus, um bestimmte Zertifikate durch Ihre eigenen Zertifikate zu ersetzen. Ersetzen Sie jedoch nur das SSL-Zertifikat, das die Verschlüsselung zwischen den Knoten bereitstellt, um den Overhead für die Zertifikatsverwaltung gering zu halten.

Die folgenden Optionen werden für die Verwaltung von Zertifikaten empfohlen.

Tabelle 1. Empfohlene Optionen zum Verwalten von Zertifikaten

Modus

Beschreibung

Vorteile

VMCA-Standardzertifikate

VMCA stellt alle Zertifikate für vCenter Server- und ESXi-Hosts zur Verfügung.

Einfachster und geringster Overhead. VMCA kann den Zertifikat-Lebenszyklus für vCenter Server und ESXi-Hosts verwalten.

VMCA-Standardzertifikate mit externen SSL-Zertifikaten (Hybrid-Modus)

Sie ersetzen die SSL-Zertifikate des Platform Services Controllers und der vCenter Server Appliance und gestatten VMCA die Verwaltung von Zertifikaten für Lösungsbenutzer und ESXi-Hosts. Optional können Sie für Bereitstellungen, die auf hohe Sicherheit ausgelegt sind, auch die SSL-Zertifikate des ESXi-Hosts ersetzen.

Einfach und sicher. VMCA verwaltet interne Zertifikate. Sie können jedoch von der Verwendung Ihrer durch das Unternehmen genehmigten SSL-Zertifikate profitieren und diesen Zertifikaten in Ihren Browsern vertrauen lassen.

VMware empfiehlt, weder Lösungsbenutzerzertifikate oder STS-Zertifikate zu ersetzen noch eine untergeordnete Zertifizierungsstelle anstelle der VMCA zu verwenden. Wenn Sie eine dieser Optionen auswählen, stoßen Sie ggf. auf erhebliche Komplexität und es besteht die Möglichkeit negativer Auswirkungen auf Ihre Sicherheit. Außerdem kann das operative Risiko unnötig ansteigen. Weitere Informationen zum Verwalten von Zertifikaten innerhalb einer vSphere-Umgebung finden Sie im Blogbeitrag mit dem Titel New Product Walkthrough - Hybrid vSphere SSL Certificate Replacement (Neuer Produktfunktionstest - Ersetzen von hybriden vSphere-SSL-Zertifikaten) unter http://vmware.com/go/hybridvmca.

Sie können die folgenden Optionen verwenden, um die vorhandenen Zertifikate zu ersetzen:

Tabelle 2. Unterschiedliche Methoden für die Zertifikatsersetzung

Option

Informationen hierzu finden Sie unter

Mithilfe der Webschnittstelle von Platform Services Controller (vSphere 6.0 Update 1 und höher)

Verwalten von Zertifikaten mit der Platform Services Controller-Webschnittstelle

Mithilfe des Dienstprogramms vSphere Certificate Manager über die Befehlszeile

Verwalten von Zertifikaten mit dem Dienstprogramm vSphere Certificate Manager

Mithilfe von CLI-Befehlen für die manuelle Zertifikatsersetzung

Verwalten von Diensten und Zertifikaten mit CLI-Befehlen