vSphere bietet Sicherheit mithilfe von Zertifikaten zur Verschlüsselung der Kommunikation, Authentifizierung von Diensten und Signierung von Token.
- Verschlüsseln der Kommunikationen zwischen zwei Knoten, wie z. B. vCenter Server und einem ESXi-Host.
- Authentifizieren von vSphere-Diensten.
- Durchführen interner Aktionen wie beispielsweise das Signieren von Token
Die interne Zertifizierungsstelle von vSphere, VMware Certificate Authority (VMCA), stellt alle für vCenter Server und ESXi erforderlichen Zertifikate zur Verfügung. VMCA wird auf jedem Platform Services Controller installiert und schützt die Lösung sofort und ohne weitere Änderung. Wenn die Standardkonfiguration beibehalten wird, ist der betriebliche Overhead für die Zertifikatverwaltung so gering wie möglich. vSphere bietet einen Mechanismus, durch den diese Zertifikate verlängert werden, wenn sie ablaufen.
Zudem bietet vSphere einen Mechanismus, um bestimmte Zertifikate durch Ihre eigenen Zertifikate zu ersetzen. Ersetzen Sie jedoch nur das SSL-Zertifikat, das die Verschlüsselung zwischen den Knoten bereitstellt, um den Overhead für die Zertifikatsverwaltung gering zu halten.
Die folgenden Optionen werden für die Verwaltung von Zertifikaten empfohlen.
Modus | Beschreibung | Vorteile |
---|---|---|
VMCA-Standardzertifikate | VMCA stellt alle Zertifikate für vCenter Server- und ESXi-Hosts zur Verfügung. | Einfachster und geringster Overhead. VMCA kann den Zertifikat-Lebenszyklus für vCenter Server und ESXi-Hosts verwalten. |
VMCA-Standardzertifikate mit externen SSL-Zertifikaten (Hybrid-Modus) | Sie ersetzen die SSL-Zertifikate des Platform Services Controllers und der vCenter Server Appliance und gestatten VMCA die Verwaltung von Zertifikaten für Lösungsbenutzer und ESXi-Hosts. Optional können Sie für Bereitstellungen, die auf hohe Sicherheit ausgelegt sind, auch die SSL-Zertifikate des ESXi-Hosts ersetzen. | Einfach und sicher. VMCA verwaltet interne Zertifikate. Sie können jedoch von der Verwendung Ihrer durch das Unternehmen genehmigten SSL-Zertifikate profitieren und diesen Zertifikaten in Ihren Browsern vertrauen lassen. |
VMware empfiehlt, weder Lösungsbenutzerzertifikate oder STS-Zertifikate zu ersetzen noch eine untergeordnete Zertifizierungsstelle anstelle der VMCA zu verwenden. Wenn Sie eine dieser Optionen auswählen, stoßen Sie ggf. auf erhebliche Komplexität und es besteht die Möglichkeit negativer Auswirkungen auf Ihre Sicherheit. Außerdem kann das operative Risiko unnötig ansteigen. Weitere Informationen zum Verwalten von Zertifikaten innerhalb einer vSphere-Umgebung finden Sie im Blogbeitrag mit dem Titel New Product Walkthrough - Hybrid vSphere SSL Certificate Replacement (Neuer Produktfunktionstest - Ersetzen von hybriden vSphere-SSL-Zertifikaten) unter http://vmware.com/go/hybridvmca.
Sie können die folgenden Optionen verwenden, um die vorhandenen Zertifikate zu ersetzen:
Option | Informationen hierzu finden Sie unter |
---|---|
Verwenden Sie den vSphere Client. Ab vSphere 6.7 wird der Platform Services Controller über den vSphere Client verwaltet. | Verwalten von Zertifikaten mit dem vSphere Client |
Mithilfe des Dienstprogramms vSphere Certificate Manager über die Befehlszeile | Verwalten von Zertifikaten mit dem Dienstprogramm vSphere Certificate Manager |
Mithilfe von CLI-Befehlen für die manuelle Zertifikatsersetzung | Verwalten von Diensten und Zertifikaten mit CLI-Befehlen |