vSphere 透過使用憑證來加密通訊、驗證服務,以及簽署 Token,以提供安全性。

vSphere 使用憑證:
  • 加密兩個節點 (例如 vCenter ServerESXi 主機) 之間的通訊。
  • 驗證 vSphere 服務。
  • 執行內部動作,例如簽署 Token。

vSphere 的內部憑證授權機構 (VMware Certificate Authority (VMCA)) 會提供 vCenter ServerESXi 所需的所有憑證。VMCA 已安裝在每個 Platform Services Controller 上,可立即保護解決方案,不需要任何其他修改。保留此預設組態將為憑證管理提供最低運作額外負荷。vSphere 提供了可在這些憑證到期時進行更新的機制。

vSphere 還提供了可使用您自己的憑證取代特定憑證的機制。但是,僅取代提供節點間加密的 SSL 憑證,可保持低憑證管理額外負荷。

對於管理憑證,建議使用下列選項:

表 1. 用於管理憑證的建議選項
模式 說明 優點
VMCA 預設憑證 VMCA 會為 vCenter ServerESXi 主機提供所有憑證。 最簡單且最低的額外負荷。VMCA 可以管理 vCenter ServerESXi 主機的憑證生命週期。
VMCA 預設憑證與外部 SSL 憑證 (混合模式) 您可以取代 Platform Services ControllervCenter Server Appliance SSL 憑證,並讓 VMCA 管理解決方案使用者和 ESXi 主機的憑證。或者,對於高安全性意識部署,您也可以取代 ESXi主機 SSL 憑證。 簡單且安全。VMCA 管理內部憑證,但會使用您公司核准的 SSL 憑證,並且讓這些憑證受您的瀏覽器信任,您可從中受益。

VMware 不建議取代解決方案使用者憑證或 STS 憑證,也不建議使用下層 CA 來取代 VMCA。如果您選擇其中一個選項,可能會遇到非常複雜的問題,且可能對安全性產生負面影響,並且增加不必要的運作風險。如需有關在 vSphere 環境中管理憑證的詳細資訊,請參閱標題為〈新產品逐步解說 - 混合 vSphere SSL 憑證取代〉的部落格文章,網址為:http://vmware.com/go/hybridvmca

您可以使用下列選項來取代現有憑證:

表 2. 不同的憑證取代方法
選項 請參閱
使用 vSphere Client。從 vSphere 6.7 開始,透過 vSphere Client 管理 Platform Services Controller。 使用 vSphere Client管理憑證
從命令列使用 vSphere Certificate Manager 公用程式。 透過 vSphere Certificate Manager 公用程式管理憑證
使用 CLI 命令來手動取代憑證。 使用 CLI 命令管理服務和憑證