VMware Certificate Authority (VMCA) 會使用憑證佈建您的環境。憑證包括用於安全連線的機器 SSL 憑證、用於向 vCenter Single Sign-On 驗證服務的解決方案使用者憑證,以及用於 ESXi 主機的憑證。
憑證 | 已佈建 | 註解 |
---|---|---|
ESXi 憑證 | VMCA (預設) | 儲存在 ESXi 本機主機上。 |
機器 SSL 憑證 | VMCA (預設) | 儲存在 VMware Endpoint 憑證存放區 (VECS) 中。 |
解決方案使用者憑證 | VMCA (預設) | 儲存在 VECS 中。 |
vCenter Single Sign-On SSL 簽署憑證 | 於安裝期間佈建。 | 從命令列管理此憑證。
備註: 請勿在檔案系統中變更此憑證,否則可能導致無法預期的行為。
|
VMware Directory Service (VMDIR) SSL 憑證 | 於安裝期間佈建。 | 在 vSphere 6.5 及更新版本中,機器 SSL 憑證將用作 vmdir 憑證。 |
SMS 自我簽署憑證 | 已在登錄 IOFilter Provider 期間佈建。 | 在 vSphere 7.0 及更新版本中,SMS 自我簽署憑證儲存在 /etc/vmware/ssl/iofiltervp_castore.pem 中。在 vSphere 7.0 之前,SMS 自我簽署憑證儲存在 /etc/vmware/ssl/castore.pem 中。此外,當 retainVasaProviderCertificate=True 時,SMS Store 還可以儲存 VVOL VASA 提供者 (版本 4.0 及更早版本) 的自我簽署憑證。 |
ESXi 憑證
ESXi 憑證儲存在每台主機本機上的 /etc/vmware/ssl 目錄中。VMCA 預設佈建 ESXi 憑證,但是您可以改為使用自訂憑證。ESXi 憑證會在主機首次新增到 vCenter Server 以及主機重新連線時佈建。如需詳細資訊,請參閱 vSphere 安全性說明文件。
機器 SSL 憑證
每個節點的機器 SSL 憑證用於在伺服器端建立 SSL 通訊端。SSL 用戶端將連線至 SSL 通訊端。此憑證用於進行伺服器驗證以及安全通訊 (例如 HTTPS 或 LDAPS)。
每個 vCenter Server 節點都擁有自己的機器 SSL 憑證。在 vCenter Server 節點上執行的所有服務都會使用此機器 SSL 憑證公開其 SSL 端點。
- 反向 Proxy 服務。與個別 vCenter 服務的 SSL 連線一律經過反向 Proxy。流量並不會進入服務本身。
- vCenter Server 服務 (vpxd)。
- VMware Directory Service (vmdir)。
VMware 產品使用標準 X.509 第 3 版 (X.509v3) 憑證來加密工作階段資訊,此工作階段資訊是透過元件之間的 SSL 傳送。
解決方案使用者憑證
解決方案使用者會封裝一或多個 vCenter Server 服務。每個解決方案使用者都必須向 vCenter Single Sign-On 進行驗證。解決方案使用者使用憑證透過 SAML Token 交換向 vCenter Single Sign-On 進行驗證。
解決方案使用者會在首次驗證時、重新開機後以及逾時結束後,向 vCenter Single Sign-On 出示憑證。逾時 (金鑰持有者逾時) 可以從 vSphere Client 進行設定,預設為 2592000 秒 (30 天)。
例如,vpxd 解決方案使用者會在連線至 vCenter Single Sign-On 時,向 vCenter Single Sign-On 出示其憑證。vpxd 解決方案使用者會從 vCenter Single Sign-On 收到 SAML Token,然後便可以使用該 Token 向其他解決方案使用者和服務進行驗證。
VECS 中包括下列解決方案使用者憑證存放區:
machine
:由 License Server 及記錄服務所使用。備註: 機器解決方案使用者憑證與機器的 SSL 憑證毫無關聯。機器解決方案使用者憑證用於進行 SAML Token 交換。機器的 SSL 憑證用於對機器進行安全 SSL 連線。vpxd
:vCenter 服務精靈 (vpxd) 存放區。vpxd 會使用儲存在此存放區中的解決方案使用者憑證來驗證 vCenter Single Sign-On。vpxd-extension
:vCenter 延伸存放區。包含 Auto Deploy 服務、Inventory Service 及不屬於其他解決方案使用者的其他服務。vsphere-webclient
:vSphere Client 存放區。還包括一些其他服務,例如效能圖服務。wcp
:VMware vSphere® with VMware Tanzu™ 存放區。也用於 vSphere 叢集服務。
內部憑證
- vCenter Single Sign-On 簽署憑證
- vCenter Single Sign-On 服務包含身分識別提供者服務,該服務會核發在整個 vSphere 中用於驗證的 SAML Token。SAML Token 表示使用者的身分,同時還包含群組成員資格資訊。 vCenter Single Sign-On 核發 SAML Token 時,將使用其簽署憑證簽署每個 Token,讓 vCenter Single Sign-On 用戶端可以驗證 SAML Token 是否來自受信任來源。
- VMware Directory Service SSL 憑證
- 在 vSphere 6.5 及更新版本中,機器 SSL 憑證將用作 VMware 目錄憑證。對於 vSphere 的早期版本,請參閱對應的說明文件。
- vSphere 虛擬機器加密憑證
- vSphere 虛擬機器加密解決方案與金鑰伺服器連線。根據解決方案向金鑰伺服器進行驗證的方式,可能會產生憑證並將其儲存在 VECS 中。請參閱 vSphere 安全性說明文件。