vSphere garantisce la sicurezza utilizzando certificati per crittografare le comunicazioni, autenticare i servizi e firmare token.

In che modo vSphere utilizza i certificati

vSphere utilizza certificati per:
  • Crittografare le comunicazioni tra due nodi, ad esempio un vCenter Server e un host ESXi.
  • Autenticare vSphere Services.
  • Eseguire azioni interne come la firma dei token.

Che cos'è VMware Certificate Authority

L'autorità di certificazione interna di vSphere, Autorità di certificazione VMware (VMCA), fornisce tutti i certificati necessari per vCenter Server e ESXi. VMCA viene installata in ogni host di vCenter Server, proteggendo così immediatamente la soluzione senza altre modifiche. L'adozione di questa configurazione predefinita riduce i costi operativi di gestione dei certificati. vSphere offre un meccanismo che rinnova questi certificati nel caso in cui scadano.

vSphere fornisce inoltre un meccanismo per sostituire determinati certificati con i propri certificati. Tuttavia, limitandosi a sostituire il solo certificato SSL che fornisce la crittografia tra i nodi, consente di non aumentare i costi operativi di gestione dei certificati.

Opzioni disponibili per gestire i certificati di vSphere

Si consiglia di adottare le seguenti opzioni per la gestione dei certificati.

Tabella 1. Opzioni consigliate per la gestione dei certificati di vSphere
Modalità Descrizione Vantaggi
Certificati predefiniti VMCA VMCA fornisce tutti i certificati per vCenter Server e gli host ESXi. Massima semplicità ed economicità. VMCA può gestire il ciclo di vita del certificato per vCenter Server e gli host ESXi.
Certificati predefiniti VMCA con certificati SSL esterni (modalità ibrida) L'utente sostituisce i certificati SSL di vCenter Server e lascia che sia VMCA a gestire i certificati per gli utenti della soluzione e gli host ESXi. Facoltativamente, per distribuzioni con un livello di sicurezza elevato, è possibile sostituire anche i certificati SSL dell'host ESXi. Semplice e sicuro. VMCA gestisce i certificati interni, ma si possono avere i vantaggi di utilizzare i certificati SSL approvati dall'azienda, ottenendo così il riconoscimento di affidabilità dai browser.

VMware non consiglia di sostituire i certificati degli utenti della soluzione o i certificati STS, né di utilizzare un'autorità di certificazione subordinata al posto di VMCA. Se si sceglie una di queste opzioni, si potrebbe riscontrare una significativa complessità, un potenziale impatto negativo sulla sicurezza e un aumento non necessario del rischio operativo. Per ulteriori informazioni sulla gestione dei certificati in un ambiente vSphere, vedere il post del blog intitolato New Product Walkthrough - Hybrid vSphere SSL Certificate Replacement all'indirizzo http://vmware.com/go/hybridvmca.

Strumenti disponibili per sostituire i certificati di vSphere

È possibile utilizzare le seguenti opzioni per sostituire i certificati esistenti.

Tabella 2. Approcci diversi alla sostituzione dei certificati di vSphere
Opzione Vedere
Utilizzare vSphere Client. Gestione dei certificati tramite vSphere Client
Utilizzare l'API di vSphere Automation per gestire il ciclo di vita dei certificati. Guida alla programmazione di VMware vSphere Automation SDK all'indirizzo https://developer.vmware.com/docs/11699/vmware-vsphere-automation-sdks-programming-guide
Utilizzare l'utilità vSphere Certificate Manager dalla riga di comando. Gestione dei certificati tramite l'utilità vSphere Certificate Manager
Utilizzare i comandi CLI per la sostituzione manuale del certificato. Guida di riferimento ai comandi della CLI per i certificati e i servizi di vSphere