vSphere 透過使用憑證來加密通訊、驗證服務,以及簽署 Token,以提供安全性。
vSphere 如何使用憑證
vSphere 使用憑證:
- 加密兩個節點 (例如 vCenter Server 和 ESXi 主機) 之間的通訊。
- 驗證 vSphere 服務。
- 執行內部動作,例如簽署 Token。
什麼是 VMware Certificate Authority
vSphere 的內部憑證授權機構 (VMware Certificate Authority (VMCA)) 會提供 vCenter Server 和 ESXi 所需的所有憑證。VMCA 已安裝在每台 vCenter Server 主機上,可立即保護解決方案,不需要任何其他修改。保留此預設組態將為憑證管理提供最低運作額外負荷。vSphere 提供了可在這些憑證到期時進行更新的機制。
vSphere 還提供了可使用您自己的憑證取代特定憑證的機制。但是,僅取代提供節點間加密的 SSL 憑證,可保持低憑證管理額外負荷。
可透過哪些選項管理 vSphere 憑證
對於管理憑證,建議使用下列選項:
| 模式 | 說明 | 優點 |
|---|---|---|
| VMCA 預設憑證 | VMCA 會為 vCenter Server 和 ESXi 主機提供所有憑證。 | 最簡單且最低的額外負荷。VMCA 可以管理 vCenter Server 和 ESXi 主機的憑證生命週期。 |
| VMCA 預設憑證與外部 SSL 憑證 (混合模式) | 您可以取代 vCenter Server SSL 憑證,並讓 VMCA 管理解決方案使用者和 ESXi 主機的憑證。或者,對於高安全性意識部署,您也可以取代 ESXi 主機 SSL 憑證。 | 簡單且安全。VMCA 管理內部憑證,但會使用您公司核准的 SSL 憑證,並且讓這些憑證受您的瀏覽器信任,您可從中受益。 |
哪些工具可用於取代 vSphere 憑證
您可以使用下列選項來取代現有憑證。
| 選項 | 請參閱 |
|---|---|
| 使用 vSphere Client。 | 使用 vSphere Client 管理憑證 |
| 使用 vSphere Automation API 管理憑證生命週期。 | VMware vSphere Automation SDK 程式設計指南 |
| 從命令列使用 vSphere Certificate Manager 公用程式。 | 使用 vSphere Certificate Manager 公用程式管理憑證 |
| 使用 CLI 命令來手動取代憑證。 | vSphere 憑證和服務 CLI 命令參考 |
