vSphere garantisce la sicurezza utilizzando certificati per crittografare le comunicazioni, autenticare i servizi e firmare token.
In che modo vSphere utilizza i certificati
- Crittografare le comunicazioni tra due nodi, ad esempio un vCenter Server e un host ESXi.
- Autenticare vSphere Services.
- Eseguire azioni interne come la firma dei token.
Che cos'è VMware Certificate Authority
L'autorità di certificazione interna di vSphere, Autorità di certificazione VMware (VMCA), fornisce tutti i certificati necessari per vCenter Server e ESXi. VMCA viene installata in ogni host di vCenter Server, proteggendo così immediatamente la soluzione senza altre modifiche. L'adozione di questa configurazione predefinita riduce i costi operativi di gestione dei certificati. vSphere offre un meccanismo che rinnova questi certificati nel caso in cui scadano.
vSphere fornisce inoltre un meccanismo per sostituire determinati certificati con i propri certificati. Tuttavia, limitandosi a sostituire il solo certificato SSL che fornisce la crittografia tra i nodi, consente di non aumentare i costi operativi di gestione dei certificati.
Opzioni disponibili per gestire i certificati di vSphere
Si consiglia di adottare le seguenti opzioni per la gestione dei certificati.
| Modalità | Descrizione | Vantaggi |
|---|---|---|
| Certificati predefiniti VMCA | VMCA fornisce tutti i certificati per vCenter Server e gli host ESXi. | Massima semplicità ed economicità. VMCA può gestire il ciclo di vita del certificato per vCenter Server e gli host ESXi. |
| Certificati predefiniti VMCA con certificati SSL esterni (modalità ibrida) | L'utente sostituisce i certificati SSL di vCenter Server e lascia che sia VMCA a gestire i certificati per gli utenti della soluzione e gli host ESXi. Facoltativamente, per distribuzioni con un livello di sicurezza elevato, è possibile sostituire anche i certificati SSL dell'host ESXi. | Semplice e sicuro. VMCA gestisce i certificati interni, ma si possono avere i vantaggi di utilizzare i certificati SSL approvati dall'azienda, ottenendo così il riconoscimento di affidabilità dai browser. |
Strumenti disponibili per sostituire i certificati di vSphere
È possibile utilizzare le seguenti opzioni per sostituire i certificati esistenti.
| Opzione | Vedere |
|---|---|
| Utilizzare vSphere Client. | Gestione dei certificati tramite vSphere Client |
| Utilizzare l'API di vSphere Automation per gestire il ciclo di vita dei certificati. | Guida alla programmazione di VMware vSphere Automation SDK |
| Utilizzare l'utilità vSphere Certificate Manager dalla riga di comando. | Gestione dei certificati tramite l'utilità vSphere Certificate Manager |
| Utilizzare i comandi CLI per la sostituzione manuale del certificato. | Guida di riferimento ai comandi della CLI per i certificati e i servizi di vSphere |
