vSphere bietet Sicherheit mithilfe von Zertifikaten zur Verschlüsselung der Kommunikation, Authentifizierung von Diensten und Signierung von Token.
Vorgehensweise zum Verwenden von Zertifikaten in vSphere
- Verschlüsseln der Kommunikationen zwischen zwei Knoten, wie z. B. einem vCenter Server- und einem ESXi-Host.
- Authentifizieren von vSphere-Diensten.
- Durchführen interner Aktionen wie beispielsweise das Signieren von Token
Was ist die VMware Certificate Authority?
Die interne Zertifizierungsstelle von vSphere, VMware Certificate Authority (VMCA), stellt alle für vCenter Server und ESXi erforderlichen Zertifikate zur Verfügung. VMCA wird auf jedem vCenter Server-Host installiert und schützt die Lösung sofort und ohne weitere Änderung. Wenn die Standardkonfiguration beibehalten wird, ist der betriebliche Overhead für die Zertifikatverwaltung so gering wie möglich. vSphere bietet einen Mechanismus, durch den diese Zertifikate verlängert werden, wenn sie ablaufen.
Zudem bietet vSphere einen Mechanismus, um bestimmte Zertifikate durch Ihre eigenen Zertifikate zu ersetzen. Ersetzen Sie jedoch nur das SSL-Zertifikat, das die Verschlüsselung zwischen den Knoten bereitstellt, um den Overhead für die Zertifikatsverwaltung gering zu halten.
Verfügbare Optionen zum Verwalten von vSphere-Zertifikaten
Die folgenden Optionen werden für die Verwaltung von Zertifikaten empfohlen.
Modus | Beschreibung | Vorteile |
---|---|---|
VMCA-Standardzertifikate | VMCA stellt alle Zertifikate für vCenter Server- und ESXi-Hosts zur Verfügung. | Einfachster und geringster Overhead. VMCA kann den Lebenszyklus des Zertifikats für vCenter Server- und ESXi-Hosts verwalten. |
VMCA-Standardzertifikate mit externen SSL-Zertifikaten (Hybrid-Modus) | Sie ersetzen die SSL-Zertifikate des vCenter Server und gestatten VMCA die Verwaltung von Zertifikaten für Lösungsbenutzer und ESXi-Hosts. Optional können Sie für Bereitstellungen, die auf hohe Sicherheit ausgelegt sind, auch die SSL-Zertifikate des ESXi-Hosts ersetzen. | Einfach und sicher. VMCA verwaltet interne Zertifikate. Sie können jedoch von der Verwendung Ihrer durch das Unternehmen genehmigten SSL-Zertifikate profitieren und diesen Zertifikaten in Ihren Browsern vertrauen lassen. |
Verfügbare Tools zum Ersetzen von vSphere-Zertifikaten
Sie können die folgenden Optionen verwenden, um die vorhandenen Zertifikate zu ersetzen.
Option | Informationen hierzu finden Sie unter |
---|---|
Verwenden Sie den vSphere Client. | Verwalten von Zertifikaten mit dem vSphere Client |
Verwenden Sie die vSphere Automation-API, um den Lebenszyklus von Zertifikaten zu verwalten. | Programmierhandbuch zu den VMware vSphere Automation SDKs |
Mithilfe des Dienstprogramms vSphere Certificate Manager über die Befehlszeile | Verwalten von Zertifikaten mithilfe der vSphere Certificate Manager-Nutzung |
Mithilfe von CLI-Befehlen für die manuelle Zertifikatsersetzung | CLI-Befehlsreferenz für vSphere-Zertifikate und -Dienste |