L'Autorità di certificazione VMware (VMCA) esegue il provisioning dei certificati nell'ambiente. VMCA emette i certificati SSL della macchina per connessioni sicure, i certificati utente della soluzione per l'autenticazione dei servizi in vCenter Single Sign-On e i certificati per gli host ESXi.

Di seguito vengono indicati i certificati utilizzati.
Tabella 1. Certificati in vSphere
Certificato Provisioning Commenti
Certificati ESXi VMCA (predefinito) Archiviati localmente nell'host ESXi.
Certificati SSL della macchina VMCA (predefinito) Archiviato in VMware Endpoint Certificate Store (VECS).
Certificati utente della soluzione VMCA (predefinito) Archiviati in VECS.
Certificato di firma SSL vCenter Single Sign-On Il provisioning è stato eseguito durante l'installazione. Gestire questo certificato dalla riga di comando.
Nota: Non modificare questo certificato nel file system, perché potrebbero verificarsi comportamenti imprevedibili.
Certificato SSL di VMware Directory Service (VMDIR) Il provisioning è stato eseguito durante l'installazione. In vSphere 6.5 e versioni successive, il certificato SSL della macchina viene utilizzato come certificato vmdir.
Certificati autofirmati SMS Provisioning eseguito durante la registrazione del provider IOFilter. In vSphere 7.0 e versioni successive, i certificati autofirmati SMS vengono archiviati in /etc/vmware/ssl/iofiltervp_castore.pem. Nelle versioni precedenti a vSphere 7.0, i certificati autofirmati SMS vengono archiviati in /etc/vmware/ssl/castore.pem. L'archivio SMS può inoltre ospitare i certificati autofirmati del provider VVOL VASA (versione 4.0 e precedenti) se retainVasaProviderCertificate=True.

Certificati di ESXi

I certificati ESXi vengono archiviati localmente in ciascun host nella directory /etc/vmware/ssl. Il provisioning dei certificati ESXi viene eseguito da VMCA per impostazione predefinita, ma è possibile utilizzare certificati personalizzati. Il provisioning dei certificati ESXi viene eseguito in occasione della creazione iniziale dell'host in vCenter Server della riconnessione dell'host. Per ulteriori informazioni, vedere la documentazione di Sicurezza di vSphere.

Certificati SSL della macchina

Il certificato SSL della macchina per ciascun nodo viene utilizzato per creare un socket SSL sul lato server. I client SSL si connettono al socket SSL. Il certificato viene utilizzato per la verifica del server e per le comunicazioni sicure, come HTTPS o LDAPS.

Ogni nodo vCenter Server dispone del proprio certificato SSL della macchina. Tutti i servizi in esecuzione in un nodo vCenter Server utilizzano il certificato SSL della macchina per esporre i propri endpoint SSL.

I servizi seguenti utilizzano il certificato SSL della macchina.
  • Il servizio proxy inverso. Le connessioni SSL ai singoli servizi vCenter sono sempre dirette al proxy inverso. Il traffico non viene diretto ai servizi.
  • Il servizio vCenter Server (vpxd).
  • Il servizio VMware Directory Service (vmdir).

I prodotti VMware utilizzano certificati X.509 versione 3 (X.509v3) standard per crittografare le informazioni di sessione. Le informazioni di sessione vengono inviate tramite SSL tra componenti.

Certificati utente della soluzione

Un utente della soluzione incapsula uno o più servizi di vCenter Server. Ogni utente della soluzione deve essere autenticato in vCenter Single Sign-On. Gli utenti della soluzione utilizzano i certificati per autenticarsi in vCenter Single Sign-On tramite lo scambio di token SAML.

Un utente della soluzione presenta il certificato a vCenter Single Sign-On quando deve eseguire l'autenticazione per la prima volta, dopo un riavvio e dopo che è trascorso un timeout. È possibile impostare il timeout (timeout del titolare della chiave) da vSphere Client e il valore predefinito è 2592000 secondi (30 giorni).

Ad esempio, l'utente della soluzione vpxd presenta il proprio certificato a vCenter Single Sign-On quando si connette a vCenter Single Sign-On. L'utente della soluzione vpxd riceve un token SAML da vCenter Single Sign-On e può quindi utilizzare tale token per autenticarsi presso altri utenti e servizi della soluzione.

VECS include i seguenti archivi di certificati utente della soluzione:

  • machine: utilizzato dal server di licenza e dal servizio di registrazione.
    Nota: Il certificato utente della soluzione della macchina non ha nulla in comune con il certificato SSL della macchina. Il certificato utente della soluzione della macchina viene utilizzato per lo scambio di token SAML. Il certificato SSL della macchina viene utilizzato per stabilire connessioni SSL sicure con una macchina.
  • vpxd: archivio del daemon di vCenter Service (vpxd). vpxd utilizza il certificato utente della soluzione conservato in questo archivio per eseguire l'autenticazione in vCenter Single Sign-On.
  • vpxd-extension: archivio estensioni di vCenter. Include il servizio Auto Deploy, il servizio di inventario e altri servizi che non fanno parte degli altri utenti della soluzione.
  • vsphere-webclient: archivio di vSphere Client. Include anche alcuni servizi aggiuntivi, come il servizio grafico delle prestazioni.
  • wcp: archivio VMware vSphere® con VMware Tanzu™. Utilizzato anche per vSphere Cluster Services.

Certificati interni

I certificati vCenter Single Sign-On non sono archiviati in VECS e non sono gestiti con gli strumenti di gestione dei certificati. Di norma, non è necessario modificarli, ma in situazioni speciali è possibile sostituire questi certificati.
Certificato di firma vCenter Single Sign-On
Il servizio vCenter Single Sign-On include un servizio provider di identità che genera token SAML utilizzati per l'autenticazione in vSphere. Un token SAML rappresenta l'identità dell'utente e contiene anche informazioni sull'appartenenza ai gruppi. Quando vCenter Single Sign-On emette token SAML, firma ogni token con il certificato di firma in modo che i client di vCenter Single Sign-On possano verificare che il token SAML provenga da una fonte attendibile.
È possibile sostituire questo certificato dalla CLI. Vedere Sostituzione di un certificato STS di vCenter Server tramite la riga di comando.
Certificato SSL di VMware Directory Service
In vSphere 6.5 e versioni successive, il certificato SSL della macchina viene utilizzato come certificato della directory di VMware. Per le versioni precedenti di vSphere, consultare la documentazione corrispondente.
Certificati di crittografia delle macchine virtuali di vSphere
La soluzione di crittografia delle macchine virtuali di vSphere si connette a un server chiavi. In base a come viene eseguita l'autenticazione della soluzione nel server chiavi, potrebbe generare certificati e archiviarli in VECS. Vedere la documentazione di Sicurezza di vSphere.