在 vSphere 6.0 及更新版本中,VMware 憑證授權機構 (VMCA) 會使用憑證佈建您的環境。這包括用於安全連線的機器 SSL 憑證、用於向 vCenter Single Sign-On 進行驗證的解決方案使用者憑證,以及用於新增到 vCenter ServerESXi 主機的憑證。

使用中的憑證如下。

表格 1. vSphere 6.0 中的憑證

憑證

佈建者

儲存位置

ESXi 憑證

VMCA (預設)

本機儲存於 ESXi 主機

機器 SSL 憑證

VMCA (預設)

VECS

解決方案使用者憑證

VMCA (預設)

VECS

vCenter Single Sign-On SSL 簽署憑證

於安裝期間佈建。

vSphere Web Client 中管理這個憑證。

警告︰

請勿在檔案系統中變更此憑證,否則可能導致無法預期的行為。

VMware 目錄服務 (vmdir) SSL 憑證

於安裝期間佈建。

在某些極端情況下,您可能必須取代此憑證。請參閱 取代 VMware 目錄服務憑證

ESXi

ESXi 憑證會本機儲存於每台主機的 /etc/vmware/ssl 目錄中。ESXi 憑證預設由 VMCA 佈建,但是您可以改為使用自訂憑證。ESXi 憑證會在主機首次新增到 vCenter Server 以及主機重新連線時佈建。

機器 SSL 憑證

每個節點的機器 SSL 憑證用於在 SSL 用戶端所連線的伺服器端建立 SSL 通訊端。此憑證用於進行伺服器驗證以及安全通訊 (例如 HTTPS 或 LDAPS)。

所有服務都會透過反向 Proxy 進行通訊。為確保相容性,舊版 vSphere 中提供的服務也會使用特定連接埠。例如,vpxd 服務使用 MACHINE_SSL_CERT 公開其端點。

每個節點 (內嵌式部署、管理節點或 Platform Services Controller) 都擁有自己的機器 SSL 憑證。在該節點上執行的所有服務都會使用此機器 SSL 憑證公開其 SSL 端點。

機器 SSL 憑證的使用方式如下:

  • 透過每個 Platform Services Controller 節點上的反向 Proxy 服務。與個別 vCenter 服務的 SSL 連線一律經過反向 Proxy。流量並不會進入服務本身。

  • 透過管理節點和內嵌式節點上的 vCenter 服務 (vpxd)。

  • 透過基礎結構節點和內嵌式節點上的 VMware 目錄服務 (vmdir)。

VMware 產品使用標準 X.509 第 3 版 (X.509v3) 憑證來加密工作階段資訊,此工作階段資訊是透過元件之間的 SSL 傳送。

解決方案使用者憑證

解決方案使用者會封裝一或多個 vCenter Server 服務,並使用憑證透過 SAML Token 交換向 vCenter Single Sign-On 進行驗證。每個解決方案使用者都必須向 vCenter Single Sign-On 進行驗證。

解決方案使用者憑證用於向 vCenter Single Sign-On 進行驗證。解決方案使用者會在首次驗證時、重新開機後以及逾時結束後,向 vCenter Single Sign-On 出示憑證。逾時 (金鑰持有者逾時) 可以從 vSphere Web Client 進行設定,預設為 2592000 秒 (30 天)。

例如,vpxd 解決方案使用者會在連線至 vCenter Single Sign-On 時,向 vCenter Single Sign-On 出示其憑證。vpxd 解決方案使用者會從 vCenter Single Sign-On 收到 SAML Token,然後便可以使用該 Token 向其他解決方案使用者和服務進行驗證。

每個管理節點和每個內嵌式部署上的 VECS 中包含下列解決方案使用者憑證存放區:

  • 機器:由 Component Manager、授權伺服器及記錄服務所使用。

    備註︰

    機器解決方案使用者憑證與機器的 SSL 憑證毫無關聯。機器解決方案使用者憑證用於進行 SAML Token 交換;機器的 SSL 憑證用於對機器進行安全 SSL 連線。

  • vpxd:vCenter 服務精靈 (vpxd) 存放區位於管理節點和內嵌式部署中。vpxd 會使用此存放區中儲存的解決方案使用者憑證向 vCenter Single Sign-On 進行驗證。

  • vpxd-extensions:vCenter 延伸存放區。包含 Auto Deploy 服務、Inventory Service 及不屬於其他解決方案使用者的其他服務。

  • vsphere-webclientvSphere Web Client 存放區。還包括一些其他服務,例如效能圖服務。

每個 Platform Services Controller 節點中也包含機器存放區。

vCenter Single Sign-On 憑證

vCenter Single Sign-On 憑證不是儲存在 VECS 中,並且不使用憑證管理工具進行管理。按規則,並不需要進行變更,但在特殊情況下,您可以取代這些憑證。

vCenter Single Sign-On 簽署憑證

vCenter Single Sign-On 服務包含身分識別提供者服務,該服務會核發在 vSphere 中用於驗證的 SAML Token。SAML Token 表示使用者的身分,同時還包含群組成員資格資訊。vCenter Single Sign-On 核發 SAML Token 時,將使用其簽署憑證簽署每個 Token,讓 vCenter Single Sign-On 用戶端可以驗證 SAML Token 是否來自受信任來源。

vCenter Single Sign-On 會核發金鑰持有者 SAML Token 給解決方案使用者,並核發 Bearer Token 給以使用者名稱和密碼登入的其他使用者。

您可以從 vSphere Web Client 中取代此憑證。請參閱 重新整理安全性 Token 服務憑證

VMware 目錄服務 SSL 憑證

如果您使用的是自訂憑證,可能必須明確取代 VMware 目錄服務 SSL 憑證。請參閱 取代 VMware 目錄服務憑證