目录
- 引子
- 1. vCenter Server 证书服务
- 1.1 vSphere 安全证书
- (1)vSphere 安全证书的类型和有效期
- 1.2在 vSphere Client 中初识 vSphere 证书
- (1)vCenter 8.0.3 的 vSphere Client 界面
- (2)vCenter Server 7.0 Update2 到 vCenter Server 8.0 Update 2 的 vSphere Client 界面
- (3)vCenter Server 7.0 到 vCenter Server 7.0 Update1 的 vSphere Client 界面
- 1.3 为什么证书对 vSphere 环境至关重要
- 参考文献
引子
本系列博文会深入浅出的引导读者认识,了解,理解 vSphere 环境中的证书。
本篇博文主要引导大家初识 vSphere 证书,描述如何快速查看 vSphere 证书。
1. vCenter Server 证书服务
1.1 vSphere 安全证书
vSphere 通过使用证书来加密通信,对服务进行身份验证,以及对令牌进行签名来提供安全性。
vSphere 使用证书:
- 对两个节点(例如 vCenter Server和 ESXi 主机)之间的通信进行加密。
- 对 vSphere 服务进行身份验证。
- 执行内部操作,如对令牌进行签名。
vSphere 的内部证书颁发机构 VMware Certificate Authority (VMCA) 提供 vCenter Server和ESXi 所需的所有证书。每一个vCenter Server主机上均安装了 VMCA,其可立即确保解决方案的安全,而不进行任何其他修改。保留此默认配置可为证书管理提供最低操作开销。vSphere 提供了一种机制,用于在这些证书过期时进行续订。
vSphere 还提供了一种机制,用于将某些证书替换为用户自己的证书。但是,仅替换在节点之间提供加密的 SSL 证书,以保持较低的证书管理开销。
模式 | 描述 | 优势 |
---|---|---|
VMCA 默认证书 | VMCA 为 vCenter Server和 ESXi 主机提供所有证书。 | 最简单和最低开销。VMCA 可以管理 vCenter Server和 ESXi 主机的证书生命周期。 |
使用外部 SSL 证书的 VMCA 默认证书(混合模式) | 替换 vCenter Server的 SSL 证书,并允许 VMCA 管理解决方案用户和ESXi 主机的证书。(可选)对于安全性很重要的部署,还可以替换 ESXi主机的 SSL 证书。 | 简单且安全。VMCA 会管理内部证书,但允许用户使用企业批准的 SSL 证书,并让浏览器信任 |
VMware 建议,既不要替换解决方案用户证书或 STS 证书,也不要使用辅助 CA 取代 VMCA。如果选择任意一种选项,您都可能会遇到很大复杂性和对安全产生负面影响的可能性,以及不必要地提高操作风险。有关管理 vSphere 环境内的证书的更多信息,请参见标题为 New Product Walkthrough - Hybrid vSphere SSL Certificate Replacement 的博客。
(1)vSphere 安全证书的类型和有效期
Certificate Type / 证书类型 | Valid 有效期 | 刷新后的有效期 |
---|---|---|
Root certificate / 根证书 | 10 年 | 10 年 |
VMCA Root certificate / VMCA根证书 | 10 年 | 10 年 |
Machine SSL certificate / 计算机 SSL 证书 | 2 年 | 2 年 |
Solution user certificate / 解决方案用户证书 | 10 年 | 2 年 |
其中
-
Root certificate(根证书),它是所有VMware vSphere 安全证书的CA,该证书无法替换。
-
VMCA Root certificate(VMCA根证书),可用于中间CA,用户可以替换该根证书(建议不替换),
它可以为 Machine SSL certificate(计算机 SSL 证书) 和 Solution user certificate(解决方案用户证书签名),即Machine SSL certificate 是其子证书。
-
Machine SSL certificate(计算机 SSL 证书) 是经过 VMCA Root certificate 证书签名的证书。如果使用企业CA直接自定该证书也是可以的。即绕开 VMCA 根证书。
-
Solution user certificate(解决方案用户证书签名) 也是经过 VMCA Root certificate 证书签名的证书。如果使用企业CA直接自定该证书也是可以的。即绕开 VMCA 根证书。
1.2在 vSphere Client 中初识 vSphere 证书
绝大多数用户刚开始都是在 vSphere Client UI 中接触到 vSphere 证书。那么 vSphere 证书在 vSphere Client UI 中哪个位置?
我们通过 administrator@vsphere.local 账户登录 vSphere Client UI 后,转到 菜单 > Administration > Certificates > Certificate Management
在这个界面中我们可以观察到上面小节中提到的部分证书。
根据 vCenter Server 版本的不同,该界面会有一些差异,具体差异如下:
(1)vCenter 8.0.3 的 vSphere Client 界面
最新的 vCenter 8.0.3 将 Machine SSL,STS Signing 和 VMCA Root,Trusted Root 证书分别分为一个标签页。
(2)vCenter Server 7.0 Update2 到 vCenter Server 8.0 Update 2 的 vSphere Client 界面
Machine SSL,STS Signing 和 VMCA Root,Trusted Root 证书在同一页面显示。
(3)vCenter Server 7.0 到 vCenter Server 7.0 Update1 的 vSphere Client 界面
Machine SSL,VMCA Root 和 Trusted Root 证书在同一页面显示,不显示 STS Signing 证书
在 Certificate Management 界面我们可以对部分证书进行管理,包括查看证书具体信息,更新(Renew)证书,导入和替换自定义证书,生成证书签名请求(CSR)
在 vSphere Client UI 上用户是看不到 Solution user certificate / 解决方案用户证书,因此对于该证书的管理,我们需要借助 VCSA 的 CLI 工具,该部分内容本系列博客后续博文会详细说明。
1.3 为什么证书对 vSphere 环境至关重要
在 vSphere 环境中证书的至关重要,它直接影响 vCenter 的服务是否能正常启动和运行,如果证书过期,那么 vCenter 的服务会相应进入停止(stopped)状态。会导致 vSphere Client UI 无法访问,进而导致用户不能正常管理 vSphere 虚拟化环境。
后续博文会对证书失效后,出现的报错和如何更新证书进行详细说明。
参考文献
- vSphere 7 :vSphere Security Certificates
- vSphere 8 :vSphere Security Certificates