在 vSphere 6.0 及更新版本中,VMware Certificate Authority (VMCA) 會使用憑證佈建您的環境。憑證包括用於安全連線的機器 SSL 憑證、用於向 vCenter Single Sign-On 驗證服務的解決方案使用者憑證,以及用於 ESXi 主機的憑證。

使用中的憑證如下。
表 1. vSphere 6.0 及更新版本中的憑證
憑證 已佈建 註解
ESXi 憑證 VMCA (預設) 本機儲存在 ESXi 主機上
機器 SSL 憑證 VMCA (預設) 儲存在 VECS 中
解決方案使用者憑證 VMCA (預設) 儲存在 VECS 中
vCenter Single Sign-On SSL 簽署憑證 於安裝期間佈建。 vSphere Web Client 中管理這個憑證。
備註: 請勿在檔案系統中變更此憑證,否則可能導致無法預期的行為。
VMware Directory Service (VMDIR) SSL 憑證 於安裝期間佈建。 從 vSphere 6.5 開始,機器 SSL 憑證會用作 vmdir 憑證。

ESXi

ESXi 憑證儲存在每台主機本機上的 /etc/vmware/ssl 目錄中。VMCA 預設佈建 ESXi 憑證,但是您可以改為使用自訂憑證。ESXi 憑證會在主機首次新增到 vCenter Server 以及主機重新連線時佈建。

機器 SSL 憑證

每個節點的機器 SSL 憑證用於在伺服器端建立 SSL 通訊端。SSL 用戶端將連線至 SSL 通訊端。此憑證用於進行伺服器驗證以及安全通訊 (例如 HTTPS 或 LDAPS)。

每個節點都擁有自己的機器 SSL 憑證。節點包括 vCenter Server 執行個體、Platform Services Controller 執行個體或內嵌式部署執行個體。在節點上執行的所有服務都會使用此機器 SSL 憑證公開其 SSL 端點。

以下服務使用機器 SSL 憑證。
  • 每個 Platform Services Controller 節點上的反向 Proxy 服務。與個別 vCenter 服務的 SSL 連線一律經過反向 Proxy。流量並不會進入服務本身。
  • 管理節點和內嵌式節點上的 vCenter 服務 (vpxd)。
  • 基礎結構節點和內嵌式節點上的 VMware Directory Service (vmdir)。

VMware 產品使用標準 X.509 第 3 版 (X.509v3) 憑證來加密工作階段資訊,此工作階段資訊是透過元件之間的 SSL 傳送。

解決方案使用者憑證

解決方案使用者會封裝一或多個 vCenter Server 服務。每個解決方案使用者都必須向 vCenter Single Sign-On 進行驗證。解決方案使用者使用憑證透過 SAML Token 交換向 vCenter Single Sign-On 進行驗證。

解決方案使用者會在首次驗證時、重新開機後以及逾時結束後,向 vCenter Single Sign-On 出示憑證。逾時 (金鑰持有者逾時) 可以從 vSphere Web Client 進行設定,預設為 2592000 秒 (30 天)。

例如,vpxd 解決方案使用者會在連線至 vCenter Single Sign-On 時,向 vCenter Single Sign-On 出示其憑證。vpxd 解決方案使用者會從 vCenter Single Sign-On 收到 SAML Token,然後便可以使用該 Token 向其他解決方案使用者和服務進行驗證。

每個管理節點和每個內嵌式部署上的 VECS 中包含下列解決方案使用者憑證存放區:

  • machine:由 License Server 及記錄服務所使用。
    備註: 機器解決方案使用者憑證與機器的 SSL 憑證毫無關聯。機器解決方案使用者憑證用於進行 SAML Token 交換。機器的 SSL 憑證用於對機器進行安全 SSL 連線。
  • vpxd:vCenter 服務精靈 (vpxd) 存放區位於管理節點和內嵌式部署中。vpxd 會使用此存放區中儲存的解決方案使用者憑證向 vCenter Single Sign-On 進行驗證。
  • vpxd-extension:vCenter 延伸存放區。包含 Auto Deploy 服務、Inventory Service 及不屬於其他解決方案使用者的其他服務。
  • vsphere-webclientvSphere Web Client 存放區。還包括一些其他服務,例如效能圖服務。

每個 Platform Services Controller 節點均包含一個 machine 憑證。

內部憑證

vCenter Single Sign-On 憑證不是儲存在 VECS 中,並且不使用憑證管理工具進行管理。按規則並不需要進行變更,但在特殊情況下,您可以取代這些憑證。
vCenter Single Sign-On 簽署憑證
vCenter Single Sign-On 服務包含身分識別提供者服務,該服務會核發在整個 vSphere 中用於驗證的 SAML Token。SAML Token 表示使用者的身分,同時還包含群組成員資格資訊。 vCenter Single Sign-On 核發 SAML Token 時,將使用其簽署憑證簽署每個 Token,讓 vCenter Single Sign-On 用戶端可以驗證 SAML Token 是否來自受信任來源。
vCenter Single Sign-On 會核發金鑰持有者 SAML Token 給解決方案使用者,並核發 Bearer Token 給以使用者名稱和密碼登入的其他使用者。
您可以從 vSphere Web Client 中取代此憑證。請參閱 重新整理安全性 Token 服務憑證
VMware Directory Service SSL 憑證
從 vSphere 6.5 開始,機器 SSL 憑證會用作 VMware 目錄憑證。如需 vSphere 早期版本的相關資訊,請參閱對應的說明文件。
vSphere 虛擬機器加密憑證
vSphere 虛擬機器加密解決方案透過外部金鑰管理伺服器 (KMS) 連線。取決於解決方案向 KMS 的驗證方式,可能會產生憑證並將其儲存在 VECS 中。請參閱 vSphere 安全性說明文件。