Различные продукты vRealize Suite используют TLS для шифрования сеансов между продуктами. По умолчанию продукт VMware Certificate Authority (VMCA), входящий в состав Platform Services Controller, предоставляет сертификаты для некоторых продуктов и служб. Другие компоненты подготавливаются с помощью самозаверяющих сертификатов.

Если необходимо заменить сертификаты по умолчанию на собственные корпоративные сертификаты или сертификаты, подписанные центром сертификации, то процесс будет разным для разных компонентов.

Проверка сертификатов включена по умолчанию, и сертификаты TLS используются для шифрования сетевого трафика. Начиная с vSphere 6.0 центр сертификации VMCA назначает сертификаты узлам ESXi и системам vCenter Server в процессе установки. Можно заменить эти сертификаты для использования VMCA в качестве промежуточного центра сертификации или использовать пользовательские сертификаты в своей среде. В vSphere 5.5 и более ранних версиях используются самозаверяющие сертификаты, которые можно удалить или заменить при необходимости.

Можно заменить сертификаты в vSphere 6.0 с помощью диспетчера сертификатов vSphere или интерфейсов командной строки для управления сертификатами. Можно удалить сертификаты в vSphere 5.5 и более ранних версиях с помощью инструмента автоматизации процесса работы с сертификатами.

Продукты, в которых используется центр сертификации VMCA

Некоторые продукты VMware получают сертификаты от VMCA во время установки. Для таких продуктов предусмотрено несколько вариантов.
  • Не трогайте сертификаты для внутренних развертываний или рассмотрите вопрос о замене сертификатов с внешним доступом, не трогая сертификаты с внутренним доступом, подписанные центром сертификации VMCA.
  • Сделайте VMCA промежуточным сертификатом. В дальнейшем используйте всю цепочку для подписания.
  • Замените сертификаты, подписанные VMCA, на пользовательские сертификаты.

См. Факторы безопасности vSphere.

Продукты, в которых используются самозаверяющие сертификаты

Можно использовать продукты, в которых используются самозаверяющие сертификаты без изменений. В браузерах пользователей просят принять или отклонить самозаверяющий сертификат при первом использовании. Пользователи могут щелкнуть ссылку, чтобы открыть и просмотреть сведения о сертификате, прежде чем принять или отвергнуть его. Принятые сертификаты хранятся в браузерах локально и принимаются без уведомления для последующего использования. Можно исключить шаг принятия, заменив при необходимости самозаверяющие сертификаты на корпоративные или подписанные центром сертификации. В документации по продуктам написано, как заменить самозаверяющие сертификаты.
Табл. 1. Замена самозаверяющих сертификатов
Продукт Документация
vSphere Replication См. Изменение сертификата SSL Certificate для устройства vSphere Replication.
vRealize Automation См. Обновление сертификатов vRealize Automation.
vRealize Log Insight См. Установка пользовательского сертификата SSL.
vRealize Orchestrator См. Изменение сертификатов SSL.
vRealize Operations Manager См. Добавление пользовательского сертификата в vRealize Operations Manager.
vRealize Business for Cloud Standard См. Изменение или замена сертификата SSL для vRealize Business for Cloud.