Dans vSphere 6.0 et version ultérieure, VMware Certificate Authority (VMCA) provisionne votre environnement avec des certificats. Les certificats incluent des certificats SSL de machine pour des connexions sécurisées, des certificats d'utilisateur de solution pour l'authentification des services auprès de vCenter Single Sign-On et des certificats pour les hôtes ESXi.
| Certificat | Alloué | Commentaires |
|---|---|---|
| Certificats ESXi | VMCA (par défaut) | Stockés localement sur l'hôte ESXi |
| Certificats SSL de la machine | VMCA (par défaut) | Stockés dans VECS |
| Certificats d'utilisateurs de solutions | VMCA (par défaut) | Stockés dans VECS |
| Certificat de signature SSL vCenter Single Sign-On | Provisionné au cours de l'installation. | Gérez ce certificat dans vSphere Web Client.
Note : Ne modifiez pas ce certificat dans le système de fichiers pour éviter de provoquer des résultats imprévisibles.
|
| Certificat SSL de VMware Directory Service (VMDIR) | Provisionné au cours de l'installation. | À partir de vSphere 6.5, le certificat SSL de machine est utilisé comme certificat vmdir. |
ESXi
Les certificats ESXi sont stockés localement sur chaque hôte dans le répertoire /etc/vmware/ssl. Les certificats ESXi sont provisionnés par VMCA par défaut, mais vous pouvez utiliser plutôt des certificats personnalisés. Les certificats ESXi sont provisionnés lorsque l'hôte est d'abord ajouté à vCenter Server et lorsque l'hôte se reconnecte.
Certificats SSL de la machine
Le certificat SSL de la machine pour chaque nœud est utilisé pour créer un socket SSL sur le côté serveur. Les clients SSL se connectent au socket SSL. Le certificat est utilisé pour la vérification du serveur et pour la communication sécurisée telle que HTTPS ou LDAPS.
Chaque nœud dispose de son propre certificat SSL de machine. Les nœuds incluent l'instance de vCenter Server l'instance de Platform Services Controller ou l'instance du déploiement intégré. Tous les services exécutés sur ce nœud utilisent ce certificat SSL de machine pour exposer leurs points de terminaison SSL.
- Le service de proxy inverse sur chaque nœud Platform Services Controller. Les connexions SSL vers des services vCenter individuels accèdent toujours au proxy inverse. Le trafic n'accède pas aux services eux-mêmes.
- Le service vCenter (vpxd) sur les nœuds de gestion et les nœuds intégrés.
- Le service VMware Directory Service (vmdir) sur les nœuds d'infrastructure et les nœuds intégrés.
Les produits VMware utilisent des certificats X.509 version 3 (X.509v3) standard pour chiffrer les informations de session. Les informations de session circulent entre les composants via SSL.
Certificats d'utilisateurs de solutions
Un utilisateur de solution encapsule un ou plusieurs services vCenter Server. Chaque utilisateur de solution doit être authentifié auprès de vCenter Single Sign-On. Les utilisateurs de solutions utilisent des certificats pour s'authentifier auprès de vCenter Single Sign-On par le biais d'un échange de jeton SAML.
Un utilisateur de solution présente le certificat à vCenter Single Sign-On lorsqu'il doit s'authentifier après un redémarrage ou après l'expiration d'un délai. Le délai (délai du détenteur de clé) peut être défini à partir de vSphere Web Client et correspond par défaut à 2 592 000 secondes (30 jours).
Par exemple, l'utilisateur de solution vpxd présente son certificat à vCenter Single Sign-On lorsqu'il se connecte à vCenter Single Sign-On. L'utilisateur de solution vpxd reçoit un jeton SAML à partir de vCenter Single Sign-On et peut utiliser ce jeton pour s'authentifier auprès d'autres utilisateurs de solutions et services.
Les magasins de certificats d'utilisateurs de solutions suivants sont inclus dans VECS sur chaque nœud de gestion et chaque déploiement intégré :
machine: utilisé par le serveur de licences et le service de journalisation.Note : Le certificat d'utilisateurs de solution de machine n'a rien à voir avec le certificat SSL de machine. Le certificat d'utilisateur de solution de machine est utilisé pour l'échange de jetons SAML. Le certificat SSL de machine est utilisé pour les connexions SSL sécurisées d'une machine.vpxd: magasin de démon du service vCenter (vpxd) sur les nœuds de gestion et les déploiements intégrés. vpxd utilise le certificat d'utilisateur de solution qui est stocké dans ce magasin pour s'authentifier auprès de vCenter Single Sign-On.vpxd-extension: magasin d'extensions vCenter. Inclut le service Auto Deploy, Inventory Service et d'autres services ne faisant pas partie d'autres utilisateurs de solution.vsphere-webclient: magasin vSphere Web Client. Inclut également certains services supplémentaires tels que le service de graphiques de performance.
Chaque nœud Platform Services Controller comprend un certificat machine.
Certificats internes
- Certificat de signature vCenter Single Sign-On
- Le service vCenter Single Sign-On inclut un fournisseur d'identité qui émet des jetons SAML utilisés dans vSphere à des fins d'authentification. Un jeton SAML représente l'identité de l'utilisateur et contient également des informations d'appartenance au groupe. Lorsque vCenter Single Sign-On émet des jetons SAML, il signe chacun d'eux avec le certificat de signature pour permettre aux clients de vCenter Single Sign-On de vérifier que le jeton SAML provient d'une source de confiance.
- Certificat SSL de VMware Directory Service
- À partir de vSphere 6.5, le certificat SSL de machine est utilisé comme certificat d'annuaire VMware. Pour les versions antérieures de vSphere, reportez-vous à la documentation correspondante.
- Certificats de chiffrement des machines virtuelles vSphere
- La solution de chiffrement de machine virtuelle vSphere se connecte à un serveur de gestion de clés (KMS) externe. Selon la méthode utilisée par la solution pour s'authentifier auprès du KMS, des certificats peuvent être générés et stockés dans VECS. Consultez la documentation de Sécurité vSphere.
