VMware Certificate Authority (VMCA) provisionne votre environnement avec des certificats. Les certificats incluent des certificats SSL de machine pour des connexions sécurisées, des certificats d'utilisateur de solution pour l'authentification des services auprès de vCenter Single Sign-On et des certificats pour les hôtes ESXi.
Certificat | Alloué | Commentaires |
---|---|---|
Certificats ESXi | VMCA (par défaut) | Stockés localement sur l'hôte ESXi. |
Certificats SSL de la machine | VMCA (par défaut) | Stockés dans VECS. |
Certificats d'utilisateurs de solutions | VMCA (par défaut) | Stockés dans VECS. |
Certificat de signature SSL vCenter Single Sign-On | Provisionné au cours de l'installation. | Gérez ce certificat à partir de la ligne de commande.
Note : Ne modifiez pas ce certificat dans le système de fichiers pour éviter de provoquer des résultats imprévisibles.
|
Certificat SSL de VMware Directory Service (VMDIR) | Provisionné au cours de l'installation. | À partir de vSphere 6.5, le certificat SSL de machine est utilisé comme certificat vmdir. |
Certificats auto-signés SMS | Provisionné lors de l'enregistrement du fournisseur IOFilter. | Dans vSphere 7.0 et versions ultérieures, les certificats auto-signés SMS sont stockés dans /etc/vmware/ssl/iofiltervp_castore.pem. Avant vSphere 7.0, les certificats auto-signés SMS étaient stockés dans /etc/vmware/ssl/gbe.pem. En outre, le magasin SMS peut également stocker les certificats auto-signés du fournisseur VASA VVOL (version 4.0 et antérieures) lorsque retainVasaProviderCertificate=True. |
ESXi
Les certificats ESXi sont stockés localement sur chaque hôte dans le répertoire /etc/vmware/ssl. Les certificats ESXi sont provisionnés par VMCA par défaut, mais vous pouvez utiliser plutôt des certificats personnalisés. Les certificats ESXi sont provisionnés lorsque l'hôte est d'abord ajouté à vCenter Server et lorsque l'hôte se reconnecte.
Certificats SSL de la machine
Le certificat SSL de la machine pour chaque nœud est utilisé pour créer un socket SSL sur le côté serveur. Les clients SSL se connectent au socket SSL. Le certificat est utilisé pour la vérification du serveur et pour la communication sécurisée telle que HTTPS ou LDAPS.
Chaque nœud vCenter Server dispose de son propre certificat SSL de machine. Tous les services exécutés sur un nœud vCenter Server utilisent ce certificat SSL de machine pour exposer leurs points de terminaison SSL.
- Le service de proxy inverse. Les connexions SSL vers des services vCenter individuels accèdent toujours au proxy inverse. Le trafic n'accède pas aux services eux-mêmes.
- Service vCenter Server (vpxd).
- VMware Directory Service (vmdir)
Les produits VMware utilisent des certificats X.509 version 3 (X.509v3) standard pour chiffrer les informations de session. Les informations de session circulent entre les composants via SSL.
Certificats d'utilisateurs de solutions
Un utilisateur de solution encapsule un ou plusieurs services vCenter Server. Chaque utilisateur de solution doit être authentifié auprès de vCenter Single Sign-On. Les utilisateurs de solutions utilisent des certificats pour s'authentifier auprès de vCenter Single Sign-On par le biais d'un échange de jeton SAML.
Un utilisateur de solution présente le certificat à vCenter Single Sign-On lorsqu'il doit s'authentifier après un redémarrage ou après l'expiration d'un délai. Le délai (délai du détenteur de clé) peut être défini à partir de vSphere Client et correspond par défaut à 2 592 000 secondes (30 jours).
Par exemple, l'utilisateur de solution vpxd présente son certificat à vCenter Single Sign-On lorsqu'il se connecte à vCenter Single Sign-On. L'utilisateur de solution vpxd reçoit un jeton SAML à partir de vCenter Single Sign-On et peut utiliser ce jeton pour s'authentifier auprès d'autres utilisateurs de solutions et services.
Les magasins de certificats d'utilisateur de solution suivants sont inclus dans VECS :
machine
: utilisé par le serveur de licences et le service de journalisation.Note : Le certificat d'utilisateurs de solution de machine n'a rien à voir avec le certificat SSL de machine. Le certificat d'utilisateur de solution de machine est utilisé pour l'échange de jetons SAML. Le certificat SSL de machine est utilisé pour les connexions SSL sécurisées d'une machine.vpxd
: magasin du démon de service vCenter (vpxd). vpxd utilise le certificat d'utilisateur de solution stocké dans ce magasin pour s'authentifier sur vCenter Single Sign-On.vpxd-extension
: magasin d'extensions vCenter. Inclut le service Auto Deploy, Inventory Service et d'autres services ne faisant pas partie d'autres utilisateurs de solution.vsphere-webclient
: magasin vSphere Client. Inclut également certains services supplémentaires tels que le service de graphiques de performance.wcp
: VMware vSphere® avec le magasin VMware Tanzu™.
Certificats internes
- Certificat de signature vCenter Single Sign-On
- Le service vCenter Single Sign-On inclut un fournisseur d'identité qui émet des jetons SAML utilisés dans vSphere à des fins d'authentification. Un jeton SAML représente l'identité de l'utilisateur et contient également des informations d'appartenance au groupe. Lorsque vCenter Single Sign-On émet des jetons SAML, il signe chacun d'eux avec le certificat de signature pour permettre aux clients de vCenter Single Sign-On de vérifier que le jeton SAML provient d'une source de confiance.
- Certificat SSL de VMware Directory Service
- À partir de vSphere 6.5, le certificat SSL de machine est utilisé comme certificat d'annuaire VMware. Pour les versions antérieures de vSphere, reportez-vous à la documentation correspondante.
- Certificats de chiffrement des machines virtuelles vSphere
- La solution de chiffrement de machine virtuelle vSphere se connecte à un serveur de gestion de clés (KMS) externe. Selon la méthode utilisée par la solution pour s'authentifier auprès du KMS, des certificats peuvent être générés et stockés dans VECS. Consultez la documentation de Sécurité vSphere.