vSphere fournit une sécurité en utilisant des certificats pour chiffrer les communications, authentifier des services et signer des jetons.
Utilisation des certificats par vSphere
- Chiffrer les communications entre deux nœuds, comme une instance de vCenter Server et un hôte ESXi.
- Authentifiez les services vSphere.
- Effectuer des actions internes telles que la signature des jetons.
Présentation de VMware Certificate Authority
L'autorité de certification interne de vSphere, VMware Certificate Authority (VMCA), fournit tous les certificats nécessaires pour vCenter Server et ESXi. VMCA est installé sur chaque hôte vCenter Server, ce qui sécurise immédiatement la solution sans autre modification requise. Le maintien de cette configuration par défaut permet la surcharge opérationnelle la plus faible pour la gestion des certificats. vSphere fournit un mécanisme permettant de renouveler ces certificats s'ils arrivent à expiration.
vSphere fournit également un mécanisme pour remplacer certains certificats par vos propres certificats. Toutefois, remplacez uniquement le certificat SSL qui fournit un chiffrement entre les nœuds pour conserver une faible surcharge de gestion des certificats.
Options de gestion des certificats vSphere
Les options suivantes sont recommandées pour la gestion des certificats.
Mode | Description | Avantages |
---|---|---|
Certificats VMCA par défaut | VMCA fournit tous les certificats requis pour les hôtes vCenter Server et ESXi. | Surcharge la plus simple et la plus faible. VMCA peut gérer le cycle de vie des certificats de vCenter Server et des hôtes ESXi. |
Certificats VMCA par défaut avec certificats SSL externes (mode hybride) | Vous remplacez les certificats SSL de vCenter Server et autorisez VMCA à gérer les certificats pour les utilisateurs de solution et les hôtes ESXi. Le cas échéant, pour les déploiements hautement sécurisés, vous pouvez également remplacer les certificats SSL de l'hôte ESXi. | Simple et sécurisée. VMCA gère les certificats internes, mais vous bénéficiez de l'utilisation de vos certificats SSL approuvés par l'entreprise et ces certificats sont approuvés par les navigateurs. |
Outils disponibles pour remplacer les certificats vSphere
Vous pouvez utiliser les options suivantes pour remplacer les certificats existants.
Option | Reportez-vous au |
---|---|
Utilisez vSphere Client. | Gestion des certificats avec vSphere Client |
Utilisez l'API de vSphere Automation pour gérer le cycle de vie des certificats. | Guide de programmation des SDK de VMware vSphere Automation |
Utilisez l'utilitaire vSphere Certificate Manager à partir de la ligne de commande. | Gestion des certificats à l’aide de l’utilitaire vSphere Certificate Manager |
Utilisez les commandes CLI pour remplacer des certificats manuellement. | Référence des commandes CLI vSphere Certificates and Services |