VMware Certificate Authority (VMCA) 會使用憑證佈建您的環境。憑證包括用於安全連線的機器 SSL 憑證、用於向 vCenter Single Sign-On 驗證服務的解決方案使用者憑證,以及用於 ESXi 主機的憑證。

使用中的憑證如下。
表 1. vSphere 中的憑證
憑證 已佈建 註解
ESXi 憑證 VMCA (預設) 儲存在 ESXi 本機主機上。
機器 SSL 憑證 VMCA (預設) 儲存在 VECS 中。
解決方案使用者憑證 VMCA (預設) 儲存在 VECS 中。
vCenter Single Sign-On SSL 簽署憑證 於安裝期間佈建。 從命令列管理此憑證。
備註: 請勿在檔案系統中變更此憑證,否則可能導致無法預期的行為。
VMware Directory Service (VMDIR) SSL 憑證 於安裝期間佈建。 從 vSphere 6.5 開始,機器 SSL 憑證會用作 vmdir 憑證。
SMS 自我簽署憑證 已在登錄 IOFilter Provider 期間佈建。 在 vSphere 7.0 及更新版本中,SMS 自我簽署憑證儲存在 /etc/vmware/ssl/iofiltervp_castore.pem 中。在 vSphere 7.0 之前,SMS 自我簽署憑證儲存在 /etc/vmware/ssl/castore.pem 中。此外,當 retainVasaProviderCertificate=True 時,SMS Store 還可以儲存 VVOL VASA 提供者 (版本 4.0 及更早版本) 的自我簽署憑證。

ESXi

ESXi 憑證儲存在每台主機本機上的 /etc/vmware/ssl 目錄中。VMCA 預設佈建 ESXi 憑證,但是您可以改為使用自訂憑證。ESXi 憑證會在主機首次新增到 vCenter Server 以及主機重新連線時佈建。

機器 SSL 憑證

每個節點的機器 SSL 憑證用於在伺服器端建立 SSL 通訊端。SSL 用戶端將連線至 SSL 通訊端。此憑證用於進行伺服器驗證以及安全通訊 (例如 HTTPS 或 LDAPS)。

每個 vCenter Server 節點都擁有自己的機器 SSL 憑證。在 vCenter Server 節點上執行的所有服務都會使用此機器 SSL 憑證公開其 SSL 端點。

以下服務使用機器 SSL 憑證。
  • 反向 Proxy 服務。與個別 vCenter 服務的 SSL 連線一律經過反向 Proxy。流量並不會進入服務本身。
  • vCenter Server 服務 (vpxd)。
  • VMware Directory Service (vmdir)。

VMware 產品使用標準 X.509 第 3 版 (X.509v3) 憑證來加密工作階段資訊,此工作階段資訊是透過元件之間的 SSL 傳送。

解決方案使用者憑證

解決方案使用者會封裝一或多個 vCenter Server 服務。每個解決方案使用者都必須向 vCenter Single Sign-On 進行驗證。解決方案使用者使用憑證透過 SAML Token 交換向 vCenter Single Sign-On 進行驗證。

解決方案使用者會在首次驗證時、重新開機後以及逾時結束後,向 vCenter Single Sign-On 出示憑證。逾時 (金鑰持有者逾時) 可以從 vSphere Client 進行設定,預設為 2592000 秒 (30 天)。

例如,vpxd 解決方案使用者會在連線至 vCenter Single Sign-On 時,向 vCenter Single Sign-On 出示其憑證。vpxd 解決方案使用者會從 vCenter Single Sign-On 收到 SAML Token,然後便可以使用該 Token 向其他解決方案使用者和服務進行驗證。

VECS 中包括下列解決方案使用者憑證存放區:

  • machine:由 License Server 及記錄服務所使用。
    備註: 機器解決方案使用者憑證與機器的 SSL 憑證毫無關聯。機器解決方案使用者憑證用於進行 SAML Token 交換。機器的 SSL 憑證用於對機器進行安全 SSL 連線。
  • vpxd:vCenter 服務精靈 (vpxd) 存放區。vpxd 會使用儲存在此存放區中的解決方案使用者憑證來驗證 vCenter Single Sign-On
  • vpxd-extension:vCenter 延伸存放區。包含 Auto Deploy 服務、Inventory Service 及不屬於其他解決方案使用者的其他服務。
  • vsphere-webclientvSphere Client 存放區。還包括一些其他服務,例如效能圖服務。
  • wcp:VMware vSphere® with VMware Tanzu™ 存放區。

內部憑證

vCenter Single Sign-On 憑證不是儲存在 VECS 中,並且不使用憑證管理工具進行管理。按規則並不需要進行變更,但在特殊情況下,您可以取代這些憑證。
vCenter Single Sign-On 簽署憑證
vCenter Single Sign-On 服務包含身分識別提供者服務,該服務會核發在整個 vSphere 中用於驗證的 SAML Token。SAML Token 表示使用者的身分,同時還包含群組成員資格資訊。 vCenter Single Sign-On 核發 SAML Token 時,將使用其簽署憑證簽署每個 Token,讓 vCenter Single Sign-On 用戶端可以驗證 SAML Token 是否來自受信任來源。
您可以從CLI 取代此憑證。請參閱 使用命令列取代 vCenter Server STS 憑證
VMware Directory Service SSL 憑證
從 vSphere 6.5 開始,機器 SSL 憑證會用作 VMware 目錄憑證。如需 vSphere 早期版本的相關資訊,請參閱對應的說明文件。
vSphere 虛擬機器加密憑證
vSphere 虛擬機器加密解決方案透過外部金鑰管理伺服器 (KMS) 連線。取決於解決方案向 KMS 的驗證方式,可能會產生憑證並將其儲存在 VECS 中。請參閱 vSphere 安全性說明文件。