VMware Certificate Authority (VMCA) 會使用憑證佈建您的環境。憑證包括用於安全連線的機器 SSL 憑證、用於向 vCenter Single Sign-On 驗證服務的解決方案使用者憑證,以及用於 ESXi 主機的憑證。

使用中的憑證如下。
表 1. vSphere 中的憑證
憑證 已佈建 註解
ESXi 憑證 VMCA (預設) 儲存在 ESXi 本機主機上。
機器 SSL 憑證 VMCA (預設) 儲存在 VMware Endpoint 憑證存放區 (VECS) 中。
解決方案使用者憑證 VMCA (預設) 儲存在 VECS 中。
vCenter Single Sign-On SSL 簽署憑證 於安裝期間佈建。 從命令列管理此憑證。
備註: 請勿在檔案系統中變更此憑證,否則可能導致無法預期的行為。
VMware Directory Service (VMDIR) SSL 憑證 於安裝期間佈建。 vSphere 6.5 及更新版本中,機器 SSL 憑證將用作 vmdir 憑證。
SMS 自我簽署憑證 已在登錄 IOFilter Provider 期間佈建。 vSphere 7.0 及更新版本中,SMS 自我簽署憑證儲存在 /etc/vmware/ssl/iofiltervp_castore.pem 中。在 vSphere 7.0 之前,SMS 自我簽署憑證儲存在 /etc/vmware/ssl/castore.pem 中。此外,當 retainVasaProviderCertificate=True 時,SMS Store 還可以儲存 VVOL VASA 提供者 (版本 4.0 及更早版本) 的自我簽署憑證。

ESXi 憑證

ESXi 憑證儲存在每台主機本機上的 /etc/vmware/ssl 目錄中。VMCA 預設佈建 ESXi 憑證,但是您可以改為使用自訂憑證。ESXi 憑證會在主機首次新增到 vCenter Server 以及主機重新連線時佈建。如需詳細資訊,請參閱 vSphere 安全性說明文件。

機器 SSL 憑證

每個節點的機器 SSL 憑證用於在伺服器端建立 SSL 通訊端。SSL 用戶端將連線至 SSL 通訊端。此憑證用於進行伺服器驗證以及安全通訊 (例如 HTTPS 或 LDAPS)。

每個 vCenter Server 節點都擁有自己的機器 SSL 憑證。在 vCenter Server 節點上執行的所有服務都會使用此機器 SSL 憑證公開其 SSL 端點。

以下服務使用機器 SSL 憑證。
  • 反向 Proxy 服務。與個別 vCenter 服務的 SSL 連線一律經過反向 Proxy。流量並不會進入服務本身。
  • vCenter Server 服務 (vpxd)。
  • VMware Directory Service (vmdir)。

VMware 產品使用標準 X.509 第 3 版 (X.509v3) 憑證來加密工作階段資訊,此工作階段資訊是透過元件之間的 SSL 傳送。

解決方案使用者憑證

解決方案使用者會封裝一或多個 vCenter Server 服務。每個解決方案使用者都必須向 vCenter Single Sign-On 進行驗證。解決方案使用者使用憑證透過 SAML Token 交換向 vCenter Single Sign-On 進行驗證。

解決方案使用者會在首次驗證時、重新開機後以及逾時結束後,向 vCenter Single Sign-On 出示憑證。逾時 (金鑰持有者逾時) 可以從 vSphere Client 進行設定,預設為 2592000 秒 (30 天)。

例如,vpxd 解決方案使用者會在連線至 vCenter Single Sign-On 時,向 vCenter Single Sign-On 出示其憑證。vpxd 解決方案使用者會從 vCenter Single Sign-On 收到 SAML Token,然後便可以使用該 Token 向其他解決方案使用者和服務進行驗證。

VECS 中包括下列解決方案使用者憑證存放區:

  • machine:由 License Server 及記錄服務所使用。
    備註: 機器解決方案使用者憑證與機器的 SSL 憑證毫無關聯。機器解決方案使用者憑證用於進行 SAML Token 交換。機器的 SSL 憑證用於對機器進行安全 SSL 連線。
  • vpxd:vCenter 服務精靈 (vpxd) 存放區。vpxd 會使用儲存在此存放區中的解決方案使用者憑證來驗證 vCenter Single Sign-On
  • vpxd-extension:vCenter 延伸存放區。包含 Auto Deploy 服務、Inventory Service 及不屬於其他解決方案使用者的其他服務。
  • vsphere-webclientvSphere Client 存放區。還包括一些其他服務,例如效能圖服務。
  • wcp:VMware vSphere® with VMware Tanzu™ 存放區。也用於 vSphere 叢集服務。

內部憑證

vCenter Single Sign-On 憑證不是儲存在 VECS 中,並且不使用憑證管理工具進行管理。按規則並不需要進行變更,但在特殊情況下,您可以取代這些憑證。
vCenter Single Sign-On 簽署憑證
vCenter Single Sign-On 服務包含身分識別提供者服務,該服務會核發在整個 vSphere 中用於驗證的 SAML Token。SAML Token 表示使用者的身分,同時還包含群組成員資格資訊。 vCenter Single Sign-On 核發 SAML Token 時,將使用其簽署憑證簽署每個 Token,讓 vCenter Single Sign-On 用戶端可以驗證 SAML Token 是否來自受信任來源。
您可以從CLI 取代此憑證。請參閱 使用命令列取代 vCenter Server STS 憑證
VMware Directory Service SSL 憑證
vSphere 6.5 及更新版本中,機器 SSL 憑證將用作 VMware 目錄憑證。對於 vSphere 的早期版本,請參閱對應的說明文件。
vSphere 虛擬機器加密憑證
vSphere 虛擬機器加密解決方案與金鑰伺服器連線。根據解決方案向金鑰伺服器進行驗證的方式,可能會產生憑證並將其儲存在 VECS 中。請參閱 vSphere 安全性說明文件。