VMware Certificate Authority (VMCA, die VMware-Zertifizierungsstelle) stellt in Ihrer Umgebung Zertifikate bereit. Zu den Zertifikaten zählen Maschinen-SSL-Zertifikate für sichere Verbindungen, Lösungsbenutzerzertifikate für die Authentifizierung von Diensten bei vCenter Single Sign On und Zertifikate für ESXi-Hosts.
Zertifikat | Bereitgestellt | Anmerkungen |
---|---|---|
ESXi-Zertifikate | VMCA (Standard) | Lokal auf dem ESXi-Host gespeichert. |
Maschinen-SSL-Zertifikate | VMCA (Standard) | In VECS gespeichert. |
Lösungsbenutzerzertifikate | VMCA (Standard) | In VECS gespeichert. |
vCenter Single Sign On-SSL-Signaturzertifikat | Bereitgestellt während der Installation. | Verwalten Sie dieses Zertifikat über die Befehlszeile.
Hinweis: Dieses Zertifikat sollten Sie nicht im Dateisystem ändern, da dies zu unvorhersehbarem Verhalten führen kann.
|
SSL-Zertifikat für VMware Directory Service (VMDIR) | Bereitgestellt während der Installation. | Ab vSphere 6.5 wird das Maschinen-SSL-Zertifikat als vmdir-Zertifikat verwendet. |
Selbstsignierte SMS-Zertifikate | Bereitgestellt während der Registrierung des IOFilter-Anbieters. | In vSphere 7.0 und höher werden selbstsignierte SMS-Zertifikate in /etc/vmware/ssl/iofiltervp_castore.pem gespeichert. In älteren Versionen als vSphere 7.0 werden selbstsignierte SMS-Zertifikate in /etc/vmware/ssl/castore.pem gespeichert. Darüber hinaus kann der SMS Store auch selbstsignierte Zertifikate des VVOL-VASA-Anbieters (Version 4.0 und früher) speichern, wenn retainVasaProviderCertificate=True. |
ESXi
ESXi-Zertifikate werden lokal auf jedem Host im Verzeichnis /etc/vmware/ssl gespeichert. ESXi-Zertifikate werden standardmäßig durch VMCA bereitgestellt, aber Sie können stattdessen benutzerdefinierte Zertifikate verwenden. ESXi-Zertifikate werden bereitgestellt, wenn der Host erstmalig zu vCenter Server hinzugefügt wird und wenn der Host erneut eine Verbindung herstellt.
Maschinen-SSL-Zertifikate
Mit dem Maschinen-SSL-Zertifikat für jeden Knoten wird ein SSL-Socket auf der Serverseite erstellt. SSL-Clients stellen eine Verbindung zum SSL-Socket her. Dieses Zertifikat wird für die Serverüberprüfung und für die sichere Kommunikation (z. B. HTTPS oder LDAPS) verwendet.
Jeder vCenter Server-Knoten verfügt über ein eigenes Maschinen-SSL-Zertifikat. Alle Dienste, die auf einem vCenter Server-Knoten ausgeführt werden, verwenden dieses Maschinen-SSL-Zertifikat, um die SSL-Endpoints verfügbar zu machen.
- Der Reverse-Proxy-Dienst. SSL-Verbindungen zu einzelnen vCenter-Diensten werden stets an den Reverse-Proxy weitergeleitet. Der Datenverkehr wird nicht an die Dienste selbst weitergeleitet.
- Der vCenter Server-Dienst (vpxd).
- Der VMware Directory Service (vmdir).
VMware-Produkte verwenden X.509 Version 3 (X.509v3)-Standardzertifikate zur Verschlüsselung von Sitzungsinformationen. Die Sitzungsinformationen werden über SSL zwischen den Komponenten gesendet.
Lösungsbenutzerzertifikate
Ein Lösungsbenutzer kapselt einen oder mehrere vCenter Server-Dienste. Jeder Lösungsbenutzer muss bei vCenter Single Sign On authentifiziert werden. Lösungsbenutzer verwenden Zertifikate zur Authentifizierung bei vCenter Single Sign On über den Austausch von SAML-Token.
Ein Lösungsbenutzer präsentiert vCenter Single Sign On das Zertifikat bei der erstmaligen Authentifizierung, nach einem Neustart sowie nach Ablauf einer Zeitüberschreitung. Die Zeitüberschreitung (Holder-of-Key-Zeitüberschreitung) kann über den vSphere Client festgelegt werden und ist standardmäßig auf 2592000 Sekunden (30 Tage) eingestellt.
Beispielsweise präsentiert der vpxd-Lösungsbenutzer vCenter Single Sign On sein Zertifikat, wenn die Verbindung zu vCenter Single Sign On hergestellt wird. Der vpxd-Lösungsbenutzer erhält von vCenter Single Sign On ein SAML-Token und kann sich dann damit bei anderen Lösungsbenutzern und Diensten authentifizieren.
Die folgenden Speicher für Lösungsbenutzerzertifikate sind in VECS enthalten:
machine
: Wird vom Lizenzserver und vom Protokollierungsdienst verwendet.Hinweis: Das Lösungsbenutzerzertifikat „machine“ hat nichts mit dem SSL-Zertifikat „machine“ zu tun. Das Lösungsbenutzerzertifikat „machine“ wird für den Austausch von SAML-Tokens verwendet. Das SSL-Zertifikat „machine“ wird für sichere SSL-Verbindungen für eine Maschine verwendet.vpxd
: vCenter-Dienst-Daemon-Speicher (vpxd). vpxd verwendet das in diesem Speicher abgelegte Lösungsbenutzerzertifikat, um sich bei vCenter Single Sign On zu authentifizieren.vpxd-extension
: vCenter-Erweiterungsspeicher. Enthält den Auto Deploy-Dienst, den Inventory Service und sonstige Dienste, die nicht Bestandteil anderer Lösungsbenutzer sind.vsphere-webclient
: vSphere Client-Speicher. Enthält auch zusätzliche Dienste wie etwa den Leistungsdiagrammdienst.wcp
: VMware vSphere® mit VMware Tanzu™-Speicher.
Interne Zertifikate
- vCenter Single Sign On-Signaturzertifikat
- Der vCenter Single Sign On-Dienst enthält einen Identitätsanbieterdienst, der SAML-Token ausstellt, die in der gesamten vSphere-Umgebung zu Authentifizierungszwecken verwendet werden. Ein SAML-Token repräsentiert die Identität des Benutzers und enthält außerdem Gruppenmitgliedschaftsinformationen. Wenn vCenter Single Sign On SAML-Token ausstellt, wird jedes Token mit dem Signaturzertifikat signiert, damit Clients von vCenter Single Sign On sicherstellen können, dass das SAML-Token aus einer vertrauenswürdigen Quelle stammt.
- VMware Directory Service-SSL-Zertifikat
- Ab vSphere 6.5 wird das Maschinen-SSL-Zertifikat als VMware-Verzeichniszertifikat verwendet. Informationen zu früheren Versionen von vSphere finden Sie in der entsprechenden Dokumentation.
- Verschlüsselungszertifikate der virtuellen vSphere-Maschine
- Die Verschlüsselungslösung der virtuellen vSphere-Maschine stellt eine Verbindung zu einem externen Schlüsselmanagementserver (Key Management Server, KMS) her. Je nachdem, wie sich die Lösung beim KMS authentifiziert, generiert sie möglicherweise Zertifikate und speichert diese in VECS. Informationen finden Sie in der Dokumentation vSphere-Sicherheit.