Différents types de certificats sont utilisés à diverses fins dans l'environnement vSphere.

Jetons SAML émis par le service STS de vCenter Single Sign-On

Les certificats STS permettent à un utilisateur qui s'est connecté via vCenter Single Sign-On d'utiliser tous les services vCenter pris en charge par vCenter Single Sign-On sans avoir à s'authentifier auprès de chacun d'eux. Le services STS envoie des jetons SAML (Security Assertion Markup Language). Ces jetons de sécurité représentent l'identité d'un utilisateur dans l'un des types de sources d'identité pris en charge par vCenter Single Sign-On. Reportez-vous à Protection de votre environnement par vCenter Single Sign-On.

Le service vCenter Single Sign-On déploie un fournisseur d'identité qui émet des jetons SAML utilisés dans vSphere à des fins d'authentification. Un jeton SAML est un fragment de code XML qui représente l'identité d'un utilisateur (nom d'utilisateur, prénom, nom de famille). En outre, le jeton SAML contient des informations d'appartenance à un groupe ce qui permet de l'utiliser à des fins d'autorisation. Lorsque vCenter Single Sign-On émet des jetons SAML, il signe chacun d'eux avec la chaîne de certificats pour permettre aux clients de vCenter Single Sign-On de vérifier que le jeton SAML provient d'une source de confiance.

certificats SSL

Les certificats SSL sécurisent les communications dans l'environnement vSphere. Le client vérifie l'authenticité du certificat présenté durant la phase d'établissement de la liaison SSL préalable au chiffrement. Cette vérification offre une protection contre les « attaques de l'intercepteur ».

Les produits VMware utilisent des certificats X.509 version 3 (X.509v3) standard pour chiffrer les informations de session envoyées sur les connexions SSL entre les composants.

Les composants de vSphere incluent des certificats par défaut. Vous pouvez remplacer les certificats par défaut par des certificats auto-signés ou signés par une autorité de certification. Pour les composants principaux de vCenter, vous pouvez utiliser l'outil d'automatisation des certificats.

Clés SSH

Les clés SSH servent à contrôler l'accès aux hôtes ESXi qui utilisent le protocole SSH (Secure Shell). Reportez-vous à la section Téléchargement d'une clé SSH sur votre hôte ESXi.

Niveau de sécurité du chiffrement

Pour chiffrer les données, le composant expéditeur (passerelle ou composant de redirection, par exemple) applique des algorithmes de chiffrement ou des chiffrements, afin de modifier les données avant leur transmission. Le composant destinataire utilise une clé pour déchiffrer les données, qui reprennent leur forme d'origine. Plusieurs méthodes de chiffrement sont utilisées, qui offrent différents niveaux de sécurité. Pour mesurer la capacité d'un chiffrement à protéger les données, on peut utiliser le niveau de cryptage, qui représente le nombre d'octets présents dans la clé de chiffrement. Plus ce nombre est élevé, plus le chiffrement est sécurisé.

Les administrateurs spécifient le niveau de chiffrement souhaité lorsqu'ils préparent une demande de certificat. La stratégie de l'entreprise peut déterminer le niveau de chiffrement choisi par l'administrateur.

Le chiffrement AES 256 bits et la méthode RSA 1024 bits sont utilisés par défaut pour les échanges de clés dans les connexions suivantes.

  • Connexions de vSphere Web Client à vCenter Server et à ESXi via l'interface de gestion.

  • Connexions SDK vers vCenter Server et vers ESXi.

  • Connexions à la console de machine virtuelle.

  • Connexions SSH directes à ESXi.