Ab vSphere 6.0 stellt die VMware Certificate Authority (VMCA) Zertifikate für Ihre Umgebung bereit. Zu den Zertifikaten zählen Maschinen-SSL-Zertifikate für sichere Verbindungen, Lösungsbenutzerzertifikate für die Authentifizierung von Diensten bei vCenter Single Sign On und Zertifikate für ESXi-Hosts.
Zertifikat | Bereitgestellt | Anmerkungen |
---|---|---|
ESXi-Zertifikate | VMCA (Standard) | Lokal auf dem ESXi-Host gespeichert |
Maschinen-SSL-Zertifikate | VMCA (Standard) | In VECS gespeichert |
Lösungsbenutzerzertifikate | VMCA (Standard) | In VECS gespeichert |
vCenter Single Sign On-SSL-Signaturzertifikat | Bereitgestellt während der Installation. | Verwalten Sie dieses Zertifikat über den vSphere Web Client.
Hinweis: Dieses Zertifikat sollten Sie nicht im Dateisystem ändern, da dies zu unvorhersehbarem Verhalten führen kann.
|
SSL-Zertifikat für VMware Directory Service (VMDIR) | Bereitgestellt während der Installation. | Ab vSphere 6.5 wird das Maschinen-SSL-Zertifikat als vmdir-Zertifikat verwendet. |
ESXi
ESXi-Zertifikate werden lokal auf jedem Host im Verzeichnis /etc/vmware/ssl gespeichert. ESXi-Zertifikate werden standardmäßig durch VMCA bereitgestellt, aber Sie können stattdessen benutzerdefinierte Zertifikate verwenden. ESXi-Zertifikate werden bereitgestellt, wenn der Host erstmalig zu vCenter Server hinzugefügt wird und wenn der Host erneut eine Verbindung herstellt.
Maschinen-SSL-Zertifikate
Mit dem Maschinen-SSL-Zertifikat für jeden Knoten wird ein SSL-Socket auf der Serverseite erstellt. SSL-Clients stellen eine Verbindung zum SSL-Socket her. Dieses Zertifikat wird für die Serverüberprüfung und für die sichere Kommunikation (z. B. HTTPS oder LDAPS) verwendet.
Jeder Knoten verfügt über ein eigenes Maschinen-SSL-Zertifikat. Zu den Knoten gehören die vCenter Server-Instanz, die Platform Services Controller-Instanz oder die eingebettete Bereitstellungsinstanz. Alle Dienste, die auf einem Knoten ausgeführt werden, verwenden dieses Maschinen-SSL-Zertifikat, um die SSL-Endpoints verfügbar zu machen.
- Der Reverse-Proxy-Dienst auf jedem Platform Services Controller-Knoten. SSL-Verbindungen zu einzelnen vCenter-Diensten werden stets an den Reverse-Proxy weitergeleitet. Der Datenverkehr wird nicht an die Dienste selbst weitergeleitet.
- Der vCenter-Dienst (vpxd) auf Verwaltungsknoten und eingebetteten Knoten.
- Der VMware Directory Service (vmdir) auf Infrastrukturknoten und eingebetteten Knoten.
VMware-Produkte verwenden X.509 Version 3 (X.509v3)-Standardzertifikate zur Verschlüsselung von Sitzungsinformationen. Die Sitzungsinformationen werden über SSL zwischen den Komponenten gesendet.
Lösungsbenutzerzertifikate
Ein Lösungsbenutzer kapselt einen oder mehrere vCenter Server-Dienste. Jeder Lösungsbenutzer muss bei vCenter Single Sign On authentifiziert werden. Lösungsbenutzer verwenden Zertifikate zur Authentifizierung bei vCenter Single Sign On über den Austausch von SAML-Token.
Ein Lösungsbenutzer präsentiert vCenter Single Sign On das Zertifikat bei der erstmaligen Authentifizierung, nach einem Neustart sowie nach Ablauf einer Zeitüberschreitung. Die Zeitüberschreitung (Holder-of-Key-Zeitüberschreitung) kann über den vSphere Web Client festgelegt werden und ist standardmäßig auf 2592000 Sekunden (30 Tage) eingestellt.
Beispielsweise präsentiert der vpxd-Lösungsbenutzer vCenter Single Sign On sein Zertifikat, wenn die Verbindung zu vCenter Single Sign On hergestellt wird. Der vpxd-Lösungsbenutzer erhält von vCenter Single Sign On ein SAML-Token und kann sich dann damit bei anderen Lösungsbenutzern und Diensten authentifizieren.
Die folgenden Lösungsbenutzer-Zertifikatspeicher sind in VECS für jeden Verwaltungsknoten und für jede eingebettete Bereitstellung enthalten:
machine
: Wird vom Lizenzserver und vom Protokollierungsdienst verwendet.Hinweis: Das Lösungsbenutzerzertifikat „machine“ hat nichts mit dem SSL-Zertifikat „machine“ zu tun. Das Lösungsbenutzerzertifikat „machine“ wird für den Austausch von SAML-Tokens verwendet. Das SSL-Zertifikat „machine“ wird für sichere SSL-Verbindungen für eine Maschine verwendet.vpxd
: vCenter-Dienst-Daemon (vpxd)-Speicher für Verwaltungsknoten und eingebettete Bereitstellungen. vpxd verwendet das in diesem Speicher gespeicherte Lösungsbenutzerzertifikat für die Authentifizierung bei vCenter Single Sign On.vpxd-extension
: vCenter-Erweiterungsspeicher. Enthält den Auto Deploy-Dienst, den Inventory Service und sonstige Dienste, die nicht Bestandteil anderer Lösungsbenutzer sind.vsphere-webclient
: vSphere Web Client-Speicher. Enthält auch zusätzliche Dienste wie etwa den Leistungsdiagrammdienst.
Jeder Platform Services Controller-Knoten enthält ein machine
-Zertifikat.
Interne Zertifikate
- vCenter Single Sign On-Signaturzertifikat
- Der vCenter Single Sign On-Dienst enthält einen Identitätsanbieterdienst, der SAML-Token ausstellt, die in der gesamten vSphere-Umgebung zu Authentifizierungszwecken verwendet werden. Ein SAML-Token repräsentiert die Identität des Benutzers und enthält außerdem Gruppenmitgliedschaftsinformationen. Wenn vCenter Single Sign On SAML-Token ausstellt, wird jedes Token mit dem Signaturzertifikat signiert, damit Clients von vCenter Single Sign On sicherstellen können, dass das SAML-Token aus einer vertrauenswürdigen Quelle stammt.
- VMware Directory Service-SSL-Zertifikat
- Ab vSphere 6.5 wird das Maschinen-SSL-Zertifikat als VMware-Verzeichniszertifikat verwendet. Informationen zu früheren Versionen von vSphere finden Sie in der entsprechenden Dokumentation.
- Verschlüsselungszertifikate der virtuellen vSphere-Maschine
- Die Verschlüsselungslösung der virtuellen vSphere-Maschine stellt eine Verbindung zu einem externen Schlüsselmanagementserver (Key Management Server, KMS) her. Je nachdem, wie sich die Lösung beim KMS authentifiziert, generiert sie möglicherweise Zertifikate und speichert diese in VECS. Informationen finden Sie in der Dokumentation vSphere-Sicherheit.