vSphere 透過使用憑證來加密通訊、驗證服務,以及簽署 Token,以提供安全性。
vSphere 使用憑證:
- 加密兩個節點 (例如 vCenter Server 和 ESXi 主機) 之間的通訊。
- 驗證 vSphere 服務。
- 執行內部動作,例如簽署 Token。
vSphere 的內部憑證授權機構 (VMware Certificate Authority (VMCA)) 會提供 vCenter Server和ESXi 所需的所有憑證。VMCA 已安裝在每個 Platform Services Controller 上,可立即保護解決方案,不需要任何其他修改。保留此預設組態將為憑證管理提供最低運作額外負荷。vSphere 提供了可在這些憑證到期時進行更新的機制。
vSphere 還提供了可使用您自己的憑證取代特定憑證的機制。但是,僅取代提供節點間加密的 SSL 憑證,可保持低憑證管理額外負荷。
對於管理憑證,建議使用下列選項:
模式 | 說明 | 優點 |
---|---|---|
VMCA 預設憑證 | VMCA 會為 vCenter Server和 ESXi 主機提供所有憑證。 | 最簡單且最低的額外負荷。VMCA 可以管理 vCenter Server 和 ESXi 主機的憑證生命週期。 |
VMCA 預設憑證與外部 SSL 憑證 (混合模式) | 您可以取代 Platform Services Controller 和 vCenter Server Appliance SSL 憑證,並讓 VMCA 管理解決方案使用者和 ESXi 主機的憑證。或者,對於高安全性意識部署,您也可以取代 ESXi主機 SSL 憑證。 | 簡單且安全。VMCA 管理內部憑證,但會使用您公司核准的 SSL 憑證,並且讓這些憑證受您的瀏覽器信任,您可從中受益。 |
VMware 不建議取代解決方案使用者憑證或 STS 憑證,也不建議使用下層 CA 來取代 VMCA。如果您選擇其中一個選項,可能會遇到非常複雜的問題,且可能對安全性產生負面影響,並且增加不必要的運作風險。如需有關在 vSphere 環境中管理憑證的詳細資訊,請參閱標題為〈新產品逐步解說 - 混合 vSphere SSL 憑證取代〉的部落格文章,網址為:http://vmware.com/go/hybridvmca。
您可以使用下列選項來取代現有憑證:
選項 | 請參閱 |
---|---|
使用 Platform Services Controller Web 介面 (vSphere 6.0 Update 1 及更新版本)。 | 使用 Platform Services Controller Web 介面管理憑證 |
從命令列使用 vSphere Certificate Manager 公用程式。 | 透過 vSphere Certificate Manager 公用程式管理憑證 |
使用 CLI 命令來手動取代憑證。 | 使用 CLI 命令管理服務和憑證 |