在 vSphere 環境中,不同類型的憑證用於實現不同的目的。

vCenter Single Sign-On STS 服務核發的 SAML Token

凡是透過 vCenter Single Sign-On 登入的使用者,均可透過 STS 憑證使用 vCenter Single Sign-On 支援的任何 vCenter 服務,無需逐個進行驗證。STS 服務會核發安全性聲明標記語言 (SAML) Token。這些安全性 Token 表示受 vCenter Single Sign-On 支援的身分識別來源類型之一中的使用者標識。請參閱如何使用 vCenter Single Sign-On 保護您的環境

vCenter Single Sign-On 服務負責部署身分識別提供者,該提供者可核發在 vSphere 中用於驗證的 SAML Token。SAML Token 是表示使用者身分識別 (使用者名稱、名字、姓氏) 的一條 XML。此外,SAML Token 中還包含群組成員資格資訊,以便用於授權作業。vCenter Single Sign-On 核發 SAML Token 時,將透過憑證鏈結簽署每個 Token,讓 vCenter Single Sign-On 用戶端可以驗證 SAML Token 是否來自受信任來源。

SSL 憑證

SSL 憑證可保護整個 vSphere 環境中的通訊安全。加密之前,用戶端會驗證 SSL 信號交換階段所提供憑證的真實性。此驗證可防止遭到攔截式攻擊。

VMware 產品使用標準 X.509 第 3 版 (X.509v3) 憑證來加密工作階段資訊,此工作階段資訊是透過元件之間的安全通訊端層 (SSL) 通訊協定連線傳送。

vSphere 元件中包含預設憑證。您可以將預設憑證取代為自我簽署或 CA 簽署的憑證。對於 vCenter 核心元件,可以使用憑證自動化工具。

SSH 金鑰

SSH 金鑰可用於控制對使用 Secure Shell (SSH) 通訊協定的 ESXi 主機的存取。請參閱將 SSH 金鑰上傳到 ESXi 主機

加密強度

為了加密資料,傳送元件 (如閘道或重新導向器) 會套用密碼編譯演算法或加密,並在傳輸資料之前更改此資料。接收元件則會使用金鑰解密資料,將其還原為原始形式。目前正在使用的加密有幾種,每種加密的安全性層級也有所差異。其中一種衡量加密保護資料能力的因素是加密強度,即加密金鑰的位元數。位元數越大,加密越安全。

管理員會在準備憑證要求時指定所需的加密強度。公司原則可能會規定管理員選擇的加密強度。

用於金鑰交換的 256 位元 AES 加密和 1024 位元 RSA 是以下連線的預設加密方式。

  • vSphere Web Client 透過管理介面到 vCenter ServerESXi 的連線。

  • SDK 到 vCenter ServerESXi 的連線。

  • 到虛擬機器主控台的連線。

  • ESXi 的直接 SSH 連線。