【vSphere 7/8】深入浅出 vSphere 证书 Ⅰ—— 初识和了解 vSphere证书

目录

  • 引子
  • 1. vCenter Server 证书服务
    • 1.1 vSphere 安全证书
      • (1)vSphere 安全证书的类型和有效期
    • 1.2在 vSphere Client 中初识 vSphere 证书
      • (1)vCenter 8.0.3 的 vSphere Client 界面
      • (2)vCenter Server 7.0 Update2 到 vCenter Server 8.0 Update 2 的 vSphere Client 界面
      • (3)vCenter Server 7.0 到 vCenter Server 7.0 Update1 的 vSphere Client 界面
    • 1.3 为什么证书对 vSphere 环境至关重要
  • 参考文献

引子

本系列博文会深入浅出的引导读者认识,了解,理解 vSphere 环境中的证书。
本篇博文主要引导大家初识 vSphere 证书,描述如何快速查看 vSphere 证书。

1. vCenter Server 证书服务

1.1 vSphere 安全证书

vSphere 通过使用证书来加密通信,对服务进行身份验证,以及对令牌进行签名来提供安全性。

vSphere 使用证书:

  • 对两个节点(例如 vCenter Server和 ESXi 主机)之间的通信进行加密。
  • 对 vSphere 服务进行身份验证。
  • 执行内部操作,如对令牌进行签名。

vSphere 的内部证书颁发机构 VMware Certificate Authority (VMCA) 提供 vCenter Server和ESXi 所需的所有证书。每一个vCenter Server主机上均安装了 VMCA,其可立即确保解决方案的安全,而不进行任何其他修改。保留此默认配置可为证书管理提供最低操作开销。vSphere 提供了一种机制,用于在这些证书过期时进行续订。

vSphere 还提供了一种机制,用于将某些证书替换为用户自己的证书。但是,仅替换在节点之间提供加密的 SSL 证书,以保持较低的证书管理开销。

模式描述优势
VMCA 默认证书VMCA 为 vCenter Server和 ESXi 主机提供所有证书。最简单和最低开销。VMCA 可以管理 vCenter Server和 ESXi 主机的证书生命周期。
使用外部 SSL 证书的 VMCA 默认证书(混合模式)替换 vCenter Server的 SSL 证书,并允许 VMCA 管理解决方案用户ESXi 主机的证书。(可选)对于安全性很重要的部署,还可以替换 ESXi主机的 SSL 证书。简单且安全。VMCA 会管理内部证书,但允许用户使用企业批准的 SSL 证书,并让浏览器信任

VMware 建议,既不要替换解决方案用户证书或 STS 证书,也不要使用辅助 CA 取代 VMCA。如果选择任意一种选项,您都可能会遇到很大复杂性和对安全产生负面影响的可能性,以及不必要地提高操作风险。有关管理 vSphere 环境内的证书的更多信息,请参见标题为 New Product Walkthrough - Hybrid vSphere SSL Certificate Replacement 的博客。

(1)vSphere 安全证书的类型和有效期

Certificate Type / 证书类型Valid 有效期刷新后的有效期
Root certificate / 根证书10 年10 年
VMCA Root certificate / VMCA根证书10 年10 年
Machine SSL certificate / 计算机 SSL 证书2 年2 年
Solution user certificate / 解决方案用户证书10 年2 年

其中

  • Root certificate(根证书),它是所有VMware vSphere 安全证书的CA,该证书无法替换。

  • VMCA Root certificate(VMCA根证书),可用于中间CA,用户可以替换该根证书(建议不替换),

    它可以为 Machine SSL certificate(计算机 SSL 证书) 和 Solution user certificate(解决方案用户证书签名),即Machine SSL certificate 是其子证书。

  • Machine SSL certificate(计算机 SSL 证书) 是经过 VMCA Root certificate 证书签名的证书。如果使用企业CA直接自定该证书也是可以的。即绕开 VMCA 根证书。

  • Solution user certificate(解决方案用户证书签名) 也是经过 VMCA Root certificate 证书签名的证书。如果使用企业CA直接自定该证书也是可以的。即绕开 VMCA 根证书。

1.2在 vSphere Client 中初识 vSphere 证书

绝大多数用户刚开始都是在 vSphere Client UI 中接触到 vSphere 证书。那么 vSphere 证书在 vSphere Client UI 中哪个位置?

我们通过 administrator@vsphere.local 账户登录 vSphere Client UI 后,转到 菜单 > Administration > Certificates > Certificate Management

在这个界面中我们可以观察到上面小节中提到的部分证书

根据 vCenter Server 版本的不同,该界面会有一些差异,具体差异如下:

(1)vCenter 8.0.3 的 vSphere Client 界面

最新的 vCenter 8.0.3 将 Machine SSL,STS Signing 和 VMCA Root,Trusted Root 证书分别分为一个标签页。

在这里插入图片描述

(2)vCenter Server 7.0 Update2 到 vCenter Server 8.0 Update 2 的 vSphere Client 界面

Machine SSL,STS Signing 和 VMCA Root,Trusted Root 证书在同一页面显示。
在这里插入图片描述

(3)vCenter Server 7.0 到 vCenter Server 7.0 Update1 的 vSphere Client 界面

Machine SSL,VMCA Root 和 Trusted Root 证书在同一页面显示,不显示 STS Signing 证书

在 Certificate Management 界面我们可以对部分证书进行管理,包括查看证书具体信息,更新(Renew)证书,导入和替换自定义证书,生成证书签名请求(CSR)

在 vSphere Client UI 上用户是看不到 Solution user certificate / 解决方案用户证书,因此对于该证书的管理,我们需要借助 VCSA 的 CLI 工具,该部分内容本系列博客后续博文会详细说明。

1.3 为什么证书对 vSphere 环境至关重要

在 vSphere 环境中证书的至关重要,它直接影响 vCenter 的服务是否能正常启动和运行,如果证书过期,那么 vCenter 的服务会相应进入停止(stopped)状态。会导致 vSphere Client UI 无法访问,进而导致用户不能正常管理 vSphere 虚拟化环境。

后续博文会对证书失效后,出现的报错和如何更新证书进行详细说明。

参考文献

  • vSphere 7 :vSphere Security Certificates
  • vSphere 8 :vSphere Security Certificates

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/401950.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

TCP/UDP实现网络通信

TCP实现网络通信 1.服务端 #include<myhead.h>//1服务端定义:端口号\id号 #define SER_PIPR 6666 #define SER_IP "196.168.111.186" //通过ifconfig查看ip int main(int argc, const char *argv[]) {//1创建套接字int sfd socket(AF_INET,SOCK_STREAM,0);…

深度解析Edge SCDN与CDN:安全加速,全面防护

在现代互联网应用中&#xff0c;CDN已成为提高网站和应用性能不可或缺的技术之一。然而&#xff0c;随着网络安全威胁的日益严峻&#xff0c;单纯依靠CDN提供的加速服务已经不足以满足企业的安全需求。因此&#xff0c;Edge SCDN出现了&#xff0c;它不仅具备CDN的加速特性&…

解锁客户增长新密码:“老带新”策略的深度剖析与实战指南

客户推荐是什么&#xff0c;为何那么重要&#xff1f; 客户推荐是指满意的客户自愿地将其认为优质的产品或服务推荐给他们的社交网络成员&#xff0c;如朋友、家人或同事&#xff0c;这种推荐行为可以是自发的口碑传播&#xff0c;也可以是通过产品方推出的“老带新”奖励计划来…

OpenCV图像滤波(12)图像金字塔处理函数pyrDown()的使用

操作系统&#xff1a;ubuntu22.04 OpenCV版本&#xff1a;OpenCV4.9 IDE:Visual Studio Code 编程语言&#xff1a;C11 算法描述 函数主要是对图像进行模糊处理并将其降采样。 默认情况下&#xff0c;输出图像的大小计算为 Size((src.cols1)/2, (src.rows1)/2)&#xff0c;但…

汽车维修预约服务系统的设计与实现

TOC springboot317汽车维修预约服务系统的设计与实现 第1章 绪论 1.1选题动因 当前的网络技术&#xff0c;软件技术等都具备成熟的理论基础&#xff0c;市场上也出现各种技术开发的软件&#xff0c;这些软件都被用于各个领域&#xff0c;包括生活和工作的领域。随着电脑和笔…

【大模型】多模态的原理简述

多模态的原理 多模态模型目前基本就是文生图、图生图、图生视频、文生视频这些&#xff0c;其底层逻辑其实还是先从生图片这一源头。因为毕竟视频也是若干帧的图片组成。 所以在生图片的这个环节上&#xff0c;我们把比较火的这个stablediffusion用的这个diffusion扩散模型理…

第T8周:使用TensorFlow实现猫狗识别

&#x1f368; 本文为&#x1f517;365天深度学习训练营 中的学习记录博客&#x1f356; 原作者&#xff1a;K同学啊 文章目录 一、前期工作1.设置GPU&#xff08;如果使用的是CPU可以忽略这步&#xff09;2. 导入数据 二、数据预处理1、加载数据2、再次检查数据3. 配置数据集4…

mysql写个分区表

因为表量已经达到1个亿了。现在想做个优化&#xff0c;先按照 create_time 时间进行分区吧。 create_time 是varchar类型。 CREATE TABLE orders (id varchar(40) NOT NULL ,order_no VARCHAR(20) NOT NULL,create_time VARCHAR(20) NOT NULL,amount DECIMAL(10,2) NOT NULL,…

springboot使用aop或Jackson进行数据脱敏

1.aop 启动类加EnableAspectJAutoProxy 自定义注解&#xff0c;在实体类中使用表示被脱敏字段 建立aop切面类 可能这里gpt会建议你用Pointcut("execution(public * com.xx.aop..*.get*(..))")这种方式拦截&#xff0c;这种我试了&#xff0c;拦截不住。猜测在mvc返…

FPGA开发——UART回环实现之接收模块的设计

一、简介 因为我们本次进行串口回环的实验的对象是FPGA开发板和PC端&#xff0c;所以在接收和发送模块中先编写接收模块&#xff0c;这样可以在后面更好的进行发送模块的验证。&#xff08;其实这里先编写哪个模块&#xff09;都不影响&#xff0c;这里看自己心情&#xff0c;反…

【SpringBoot】【autopoi】java生成word,基于模版生成(文本、图片、表格)

基于模版生成word 1、引入maven2、word模版编写3、java代码4、效果5、word转pdf AutoPoi的主要特点 参考文献 https://help.jeecg.com/autopoi/autopoi/prequel/test.html 1.设计精巧,使用简单 2.接口丰富,扩展简单 3.默认值多,write less do more 4.spring mvc支持,web导出可以…

【ubuntu24.04】远程开发:微软RDP;ssh远程root登录;clion以root远程

本地配置了一台ubutnu服务器,运行各种服务。偶尔会远程过去,做一些UI操作。感觉nomachine的就是会模糊一些,可能是默认的编码比较均衡?RDP更清晰? RDP 与nomachine比,更清晰,但是貌似不支持自动缩放窗口?默认的配置就比较高:GPT的建议 安装xrdp还要配置session:1. 安…

Git 课程任务

安装好git 写自我介绍 配置完git&#xff0c;进行提交 创建个人仓库 添加链接 本地提交到远程仓库

leetcode198打家劫舍

题目描述 LeetCode 第 198 题——打家劫舍&#xff08;House Robber&#xff09; 你是一个职业小偷&#xff0c;计划偷窃沿街的房屋。每间房内都藏有一定的现金&#xff0c;这个地方所有的房屋都围成一圈&#xff0c;并且相邻的房屋有安全系统会相连&#xff0c;如果两间相邻的…

【C++高阶】哈希—— 位图 | 布隆过滤器 | 哈希切分

✨ 人生如梦&#xff0c;朝露夕花&#xff0c;宛若泡影 &#x1f30f; &#x1f4c3;个人主页&#xff1a;island1314 &#x1f525;个人专栏&#xff1a;C学习 ⛺️ 欢迎关注&#xff1a;&#x1f44d;点赞 &#x1f442;&am…

C++竞赛初阶L1-11-第五单元-for循环(25~26课)519: T454430 人口增长问题

题目内容 假设目前的世界人口有 x 亿&#xff0c;按照每年 0.1% 的增长速度&#xff0c;n 年后将有多少人&#xff1f; 输入格式 一行两个正整数 x 和 n&#xff0c;之间有一个空格。其中&#xff0c;1≤x≤100,1≤n≤100。 输出格式 一行一个数&#xff0c;表示答案。以亿…

RK3576 芯片介绍

RK3576 芯片介绍 RK3576瑞芯微第二代8nm高性能AIOT平台&#xff0c;它集成了独立的6TOPS&#xff08;Tera Operations Per Second&#xff0c;每秒万亿次操作&#xff09;NPU&#xff08;神经网络处理单元&#xff09;&#xff0c;用于处理人工智能相关的任务。此外&#xff0…

使用ITextRenderer导出PDF后无法打开问题,提示‘无法打开此文件‘

依赖如下 <!-- https://mvnrepository.com/artifact/org.xhtmlrenderer/flying-saucer-pdf --> <dependency><groupId>org.xhtmlrenderer</groupId><artifactId>flying-saucer-pdf</artifactId><version>9.1.22</version> &l…

6.MySQL的增删改查

目录 Create 单行插入数据 全列插入 多行数据指定列插入 插入否则更新 主键冲突 唯一键冲突 &#xff08;☆&#xff09; 替换数据 Retrieve Select列 全列查询 指定列查询 查询字段为表达式 where条件 NULL 的查询 NULL 和 NULL 的比较&#xff0c; 和 <>…

如何选择图片和视频

文章目录 1. 概念介绍2. 方法与细节2.1 实现方法2.2 具体细节 3. 示例代码4. 内容总结 我们在上一章回中介绍了"如何选择视频文件"相关的内容&#xff0c;本章回中将介绍如何混合选择图片和视频文件.闲话休提&#xff0c;让我们一起Talk Flutter吧。 1. 概念介绍 我…