VMware Certificate Authority (VMCA) provisionne votre environnement avec des certificats. Les certificats incluent des certificats SSL de machine pour des connexions sécurisées, des certificats d'utilisateur de solution pour l'authentification des services auprès de vCenter Single Sign-On et des certificats pour les hôtes ESXi.

Les certificats suivants sont utilisés.
Tableau 1. Certificats dans vSphere
Certificat Alloué Commentaires
Certificats ESXi VMCA (par défaut) Stockés localement sur l'hôte ESXi.
Certificats SSL de la machine VMCA (par défaut) Stocké dans VMware Endpoint Certificate Store (VECS).
Certificats d'utilisateurs de solutions VMCA (par défaut) Stockés dans VECS.
Certificat de signature SSL vCenter Single Sign-On Provisionné au cours de l'installation. Gérez ce certificat à partir de la ligne de commande.
Note : Ne modifiez pas ce certificat dans le système de fichiers pour éviter de provoquer des résultats imprévisibles.
Certificat SSL de VMware Directory Service (VMDIR) Provisionné au cours de l'installation. À partir de vSphere 6.5, le certificat SSL de machine est utilisé en tant que certificat vmdir.
Certificats auto-signés SMS Provisionné lors de l'enregistrement du fournisseur IOFilter. Dans vSphere 7.0 et versions ultérieures, les certificats auto-signés SMS sont stockés dans /etc/vmware/ssl/iofiltervp_castore.pem. Avant vSphere 7.0, les certificats auto-signés SMS étaient stockés dans /etc/vmware/ssl/gbe.pem. En outre, le magasin SMS peut également stocker les certificats auto-signés du fournisseur VASA VVOL (version 4.0 et antérieures) lorsque retainVasaProviderCertificate=True.

Certificats ESXi

Les certificats ESXi sont stockés localement sur chaque hôte dans le répertoire /etc/vmware/ssl. Les certificats ESXi sont provisionnés par VMCA par défaut, mais vous pouvez utiliser plutôt des certificats personnalisés. Les certificats ESXi sont provisionnés lorsque l'hôte est d'abord ajouté à vCenter Server et lorsque l'hôte se reconnecte. Pour plus d'informations, consultez la documentation Sécurité vSphere.

Certificats SSL de la machine

Le certificat SSL de la machine pour chaque nœud est utilisé pour créer un socket SSL sur le côté serveur. Les clients SSL se connectent au socket SSL. Le certificat est utilisé pour la vérification du serveur et pour la communication sécurisée telle que HTTPS ou LDAPS.

Chaque nœud vCenter Server dispose de son propre certificat SSL de machine. Tous les services exécutés sur un nœud vCenter Server utilisent ce certificat SSL de machine pour exposer leurs points de terminaison SSL.

Les services suivants utilisent le certificat SSL de machine.
  • Le service de proxy inverse. Les connexions SSL vers des services vCenter individuels accèdent toujours au proxy inverse. Le trafic n'accède pas aux services eux-mêmes.
  • Service vCenter Server (vpxd).
  • VMware Directory Service (vmdir)

Les produits VMware utilisent des certificats X.509 version 3 (X.509v3) standard pour chiffrer les informations de session. Les informations de session circulent entre les composants via SSL.

Certificats d'utilisateurs de solutions

Un utilisateur de solution encapsule un ou plusieurs services vCenter Server. Chaque utilisateur de solution doit être authentifié auprès de vCenter Single Sign-On. Les utilisateurs de solutions utilisent des certificats pour s'authentifier auprès de vCenter Single Sign-On par le biais d'un échange de jeton SAML.

Un utilisateur de solution présente le certificat à vCenter Single Sign-On lorsqu'il doit s'authentifier après un redémarrage ou après l'expiration d'un délai. Le délai (délai du détenteur de clé) peut être défini à partir de vSphere Client et correspond par défaut à 2 592 000 secondes (30 jours).

Par exemple, l'utilisateur de solution vpxd présente son certificat à vCenter Single Sign-On lorsqu'il se connecte à vCenter Single Sign-On. L'utilisateur de solution vpxd reçoit un jeton SAML à partir de vCenter Single Sign-On et peut utiliser ce jeton pour s'authentifier auprès d'autres utilisateurs de solutions et services.

Les magasins de certificats d'utilisateur de solution suivants sont inclus dans VECS :

  • machine : utilisé par le serveur de licences et le service de journalisation.
    Note : Le certificat d'utilisateurs de solution de machine n'a rien à voir avec le certificat SSL de machine. Le certificat d'utilisateur de solution de machine est utilisé pour l'échange de jetons SAML. Le certificat SSL de machine est utilisé pour les connexions SSL sécurisées d'une machine.
  • vpxd : magasin du démon de service vCenter (vpxd). vpxd utilise le certificat d'utilisateur de solution stocké dans ce magasin pour s'authentifier sur vCenter Single Sign-On.
  • vpxd-extension : magasin d'extensions vCenter. Inclut le service Auto Deploy, Inventory Service et d'autres services ne faisant pas partie d'autres utilisateurs de solution.
  • vsphere-webclient : magasin vSphere Client. Inclut également certains services supplémentaires tels que le service de graphiques de performance.
  • wcp: VMware vSphere® avec le magasin VMware Tanzu™.

Certificats internes

Les certificats vCenter Single Sign-On ne sont pas stockés dans VECS et ne sont pas gérés avec des outils de gestion de certificats. En règle générale, les modifications ne sont pas nécessaires, mais dans des situations spéciales, vous pouvez remplacer ces certificats.
Certificat de signature vCenter Single Sign-On
Le service vCenter Single Sign-On inclut un fournisseur d'identité qui émet des jetons SAML utilisés dans vSphere à des fins d'authentification. Un jeton SAML représente l'identité de l'utilisateur et contient également des informations d'appartenance au groupe. Lorsque vCenter Single Sign-On émet des jetons SAML, il signe chacun d'eux avec le certificat de signature pour permettre aux clients de vCenter Single Sign-On de vérifier que le jeton SAML provient d'une source de confiance.
Vous pouvez remplacer ce certificat dans l'interface de ligne de commande. Reportez-vous à la section Remplacer un certificat STS vCenter Server à l'aide de la ligne de commande.
Certificat SSL de VMware Directory Service
Dans vSphere 6.5 et versions ultérieures, le certificat SSL de machine est utilisé en tant que certificat VMware Directory. Pour les versions antérieures de vSphere, reportez-vous à la documentation correspondante.
Certificat de chiffrement des machines virtuelles vSphere
La solution de chiffrement des machines virtuelles vSphere se connecte à un serveur de clés. Selon la méthode utilisée par la solution pour s'authentifier auprès du serveur de clés, des certificats peuvent être générés et stockés dans VECS. Consultez la documentation de Sécurité vSphere.