vSphere 環境では、様々な目的で様々なタイプの証明書が使用されます。

vCenter Single Sign-On STS サービスによって発行された SAML トークン

STS 証明書を使用すると、vCenter Single Sign-On を介してログオンしたユーザーが、vCenter Single Sign-On がサポートする vCenter サービスを認証なしで使用できます。STS サービスは、Security Assertion Markup Language (SAML) トークンを発行します。これらのセキュリティ トークンは、vCenter Single Sign-On によってサポートされている ID ソースのタイプの 1 つでユーザーの ID を表します。vCenter Single Sign-On によって環境を保護する方法 を参照してください。

vCenter Single Sign-On サービスは 認証のために vSphere 全体を通じて使用される SAML トークンを発行する ID プロバイダをデプロイします。SAML トークンは XML の一要素で、ユーザー ID (ユーザー名、名、姓) を表します。さらに、SAML トークンが認証操作に使用できるように SAML トークンにはグループ メンバーシップ情報も含まれます。vCenter Single Sign-On が SAML トークンを発行すると、SAML トークンが信頼できるソースから取得されたことを vCenter Single Sign-On のクライアントが確認できるように、各トークンは証明書チェーンによって署名されます。

SSL 証明書

SSL 証明書は、vSphere 環境全体を通じて通信の安全を確保します。クライアントは暗号化の前に SSL ハンドシェイク段階で提示される証明書の信頼性を検証します。これらの検証は潜在的な中間者攻撃から保護します。

VMware 製品では、コンポーネント間で Secure Socket Layer (SSL) プロトコル接続を介して送られるセッション情報を、標準の X.509 バージョン 3 (X.509v3) 証明書を使用して暗号化します。

vSphere コンポーネントにはデフォルトの証明書が含まれます。デフォルトの証明書は自己署名または CA 署名付きの証明書と置き換えることができます。主要な vCenter コンポーネントには、Certificate Automation ツールが使用できます。

SSH キー

SSH キーは、SSH (Secure Shell) プロトコルを使用している ESXi ホストへのアクセスを制御するのに使用されます。ESXi ホストへの SSH キーのアップロード を参照してください。

暗号強度

データを暗号化するために、ゲートウェイやリダイレクタなどの送信側コンポーネントは、データを送信する前にそれを変形させる暗号化アルゴリズム、すなわち暗号を適用します。受信側コンポーネントは、鍵を使用してデータを複合化し、元の形式に戻します。複数の暗号が使用されており、各暗号によってセキュリティ レベルが異なります。暗号のデータ保護機能の目安となるのが、暗号化鍵のビット数で示される暗号強度です。この数値が大きいほど、暗号の安全性は高くなります。

管理者は、証明書要求を準備するときに望ましい暗号強度を指定します。企業ポリシーで、管理者が選択する暗号強度が指定されていることがあります。

以下の接続では、256 ビットの AES 暗号化と 1024 ビットの RSA 鍵交換がデフォルトです。

  • 管理インターフェイスを介した、vSphere Web ClientvCenter Server および ESXi への接続。

  • SDK の vCenter Server および ESXi への接続。

  • 仮想マシン コンソールへの接続。

  • ESXi への直接的な SSH 接続。