vSphere beinhaltet die VMware Certificate Authority (VMCA). VMCA generiert standardmäßig alle internen Zertifikate, die in der vSphere-Umgebung verwendet werden. Hierzu zählen auch Zertifikate für neu hinzugefügte ESXi-Hosts und VASA-Speicheranbieter, die Virtual Volumes-Speichersysteme verwalten oder repräsentieren.

Die Kommunikation mit dem VASA-Anbieter wird durch SSL-Zertifikate geschützt. Diese Zertifikate können vom VASA-Anbieter oder von der VMCA stammen.
  • Zertifikate können direkt vom VASA-Anbieter für die langfristige Verwendung bereitgestellt werden. Sie können entweder selbstgeneriert und selbstsigniert sein oder aber von einer externen Zertifizierungsstelle stammen.
  • Zertifikate können von der VMCA für die Verwendung durch den VASA-Anbieter generiert werden.
Wenn ein Host oder VASA-Anbieter registriert ist, führt VMCA diese Schritte automatisch aus, ohne dass der vSphere-Administrator eingreifen muss.
  1. Wenn ein VASA-Anbieter erstmalig zum Speicherverwaltungsdienst (Storage Management Service, SMS) von vCenter Server hinzugefügt wird, wird ein selbstsigniertes Zertifikat erstellt.
  2. Nach der Überprüfung des Zertifikats fordert der Speicherverwaltungsdienst eine Zertifikatsignieranforderung (Certificate Signing Request, CSR) vom VASA-Anbieter an.
  3. Nach dem Empfang und der Überprüfung der CSR wird sie vom Speicherverwaltungsdienst im Namen des VASA-Anbieters gegenüber der VMCA präsentiert und es wird ein von der Zertifizierungsstelle signiertes Zertifikat angefordert.

    Die VMCA kann als eigenständige Zertifizierungsstelle oder als untergeordnete Zertifizierungsstelle für eine Unternehmenszertifizierungsstelle konfiguriert werden. Wenn Sie die VMCA als untergeordnete Zertifizierungsstelle einrichten, signiert VMCA die CSR mit der vollständigen Zertifizierungskette.

  4. Das signierte Zertifikat wird zusammen mit dem Rootzertifikat an den VASA-Anbieter übergeben. Der VASA-Anbieter kann alle zukünftigen sicheren Verbindungen, die vom Speicherverwaltungsdienst ausgehen, in vCenter Server und auf ESXi-Hosts authentifizieren.