Dans vSphere 6.0 et version ultérieure, VMware Certificate Authority (VMCA) provisionne votre environnement avec des certificats. Les certificats incluent des certificats SSL de machine pour des connexions sécurisées, des certificats d'utilisateur de solution pour l'authentification des services auprès de vCenter Single Sign-On et des certificats pour les hôtes ESXi.

Les certificats suivants sont utilisés.
Tableau 1. Certificats dans vSphere 6.0 et version ultérieure
Certificat Alloué Commentaires
Certificats ESXi VMCA (par défaut) Stockés localement sur l'hôte ESXi
Certificats SSL de la machine VMCA (par défaut) Stockés dans VECS
Certificats d'utilisateurs de solutions VMCA (par défaut) Stockés dans VECS
Certificat de signature SSL vCenter Single Sign-On Provisionné au cours de l'installation. Gérez ce certificat dans vSphere Web Client.
Note : Ne modifiez pas ce certificat dans le système de fichiers pour éviter de provoquer des résultats imprévisibles.
Certificat SSL de VMware Directory Service (VMDIR) Provisionné au cours de l'installation. À partir de vSphere 6.5, le certificat SSL de machine est utilisé comme certificat vmdir.

ESXi

Les certificats ESXi sont stockés localement sur chaque hôte dans le répertoire /etc/vmware/ssl. Les certificats ESXi sont provisionnés par VMCA par défaut, mais vous pouvez utiliser plutôt des certificats personnalisés. Les certificats ESXi sont provisionnés lorsque l'hôte est d'abord ajouté à vCenter Server et lorsque l'hôte se reconnecte.

Certificats SSL de la machine

Le certificat SSL de la machine pour chaque nœud est utilisé pour créer un socket SSL sur le côté serveur. Les clients SSL se connectent au socket SSL. Le certificat est utilisé pour la vérification du serveur et pour la communication sécurisée telle que HTTPS ou LDAPS.

Chaque nœud dispose de son propre certificat SSL de machine. Les nœuds incluent l'instance de vCenter Server l'instance de Platform Services Controller ou l'instance du déploiement intégré. Tous les services exécutés sur ce nœud utilisent ce certificat SSL de machine pour exposer leurs points de terminaison SSL.

Les services suivants utilisent le certificat SSL de machine.
  • Le service de proxy inverse sur chaque nœud Platform Services Controller. Les connexions SSL vers des services vCenter individuels accèdent toujours au proxy inverse. Le trafic n'accède pas aux services eux-mêmes.
  • Le service vCenter (vpxd) sur les nœuds de gestion et les nœuds intégrés.
  • Le service VMware Directory Service (vmdir) sur les nœuds d'infrastructure et les nœuds intégrés.

Les produits VMware utilisent des certificats X.509 version 3 (X.509v3) standard pour chiffrer les informations de session. Les informations de session circulent entre les composants via SSL.

Certificats d'utilisateurs de solutions

Un utilisateur de solution encapsule un ou plusieurs services vCenter Server. Chaque utilisateur de solution doit être authentifié auprès de vCenter Single Sign-On. Les utilisateurs de solutions utilisent des certificats pour s'authentifier auprès de vCenter Single Sign-On par le biais d'un échange de jeton SAML.

Un utilisateur de solution présente le certificat à vCenter Single Sign-On lorsqu'il doit s'authentifier après un redémarrage ou après l'expiration d'un délai. Le délai (délai du détenteur de clé) peut être défini à partir de vSphere Web Client et correspond par défaut à 2 592 000 secondes (30 jours).

Par exemple, l'utilisateur de solution vpxd présente son certificat à vCenter Single Sign-On lorsqu'il se connecte à vCenter Single Sign-On. L'utilisateur de solution vpxd reçoit un jeton SAML à partir de vCenter Single Sign-On et peut utiliser ce jeton pour s'authentifier auprès d'autres utilisateurs de solutions et services.

Les magasins de certificats d'utilisateurs de solutions suivants sont inclus dans VECS sur chaque nœud de gestion et chaque déploiement intégré :

  • machine : utilisé par le serveur de licences et le service de journalisation.
    Note : Le certificat d'utilisateurs de solution de machine n'a rien à voir avec le certificat SSL de machine. Le certificat d'utilisateur de solution de machine est utilisé pour l'échange de jetons SAML. Le certificat SSL de machine est utilisé pour les connexions SSL sécurisées d'une machine.
  • vpxd : magasin de démon du service vCenter (vpxd) sur les nœuds de gestion et les déploiements intégrés. vpxd utilise le certificat d'utilisateur de solution qui est stocké dans ce magasin pour s'authentifier auprès de vCenter Single Sign-On.
  • vpxd-extension : magasin d'extensions vCenter. Inclut le service Auto Deploy, Inventory Service et d'autres services ne faisant pas partie d'autres utilisateurs de solution.
  • vsphere-webclient : magasin vSphere Web Client. Inclut également certains services supplémentaires tels que le service de graphiques de performance.

Chaque nœud Platform Services Controller comprend un certificat machine.

Certificats internes

Les certificats vCenter Single Sign-On ne sont pas stockés dans VECS et ne sont pas gérés avec des outils de gestion de certificats. En règle générale, les modifications ne sont pas nécessaires, mais dans des situations spéciales, vous pouvez remplacer ces certificats.
Certificat de signature vCenter Single Sign-On
Le service vCenter Single Sign-On inclut un fournisseur d'identité qui émet des jetons SAML utilisés dans vSphere à des fins d'authentification. Un jeton SAML représente l'identité de l'utilisateur et contient également des informations d'appartenance au groupe. Lorsque vCenter Single Sign-On émet des jetons SAML, il signe chacun d'eux avec le certificat de signature pour permettre aux clients de vCenter Single Sign-On de vérifier que le jeton SAML provient d'une source de confiance.
vCenter Single Sign-On émet des jetons détenteurs de clé SAML pour les utilisateurs de solution et des jetons au porteur pour les autres utilisateurs, qui se connectent avec un nom d'utilisateur et un mot de passe.
Vous pouvez remplacer ce certificat dans vSphere Web Client. Reportez-vous à la section Actualiser le certificat STS.
Certificat SSL de VMware Directory Service
À partir de vSphere 6.5, le certificat SSL de machine est utilisé comme certificat d'annuaire VMware. Pour les versions antérieures de vSphere, reportez-vous à la documentation correspondante.
Certificats de chiffrement des machines virtuelles vSphere
La solution de chiffrement de machine virtuelle vSphere se connecte à un serveur de gestion de clés (KMS) externe. Selon la méthode utilisée par la solution pour s'authentifier auprès du KMS, des certificats peuvent être générés et stockés dans VECS. Consultez la documentation de Sécurité vSphere.