【vSphere 7/8】深入浅出 vSphere 证书 Ⅲ—— vSphere 证书的更新和替换概述

于 2024-08-31 10:00:00 发布
阅读量437 收藏 11
点赞数 5
文章标签: 服务器 运维 vSphere vCenter 证书 certificate
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/NOWSHUT/article/details/141365936
版权

目录

摘要

本系列博文会深入浅出的引导读者认识,了解,理解 vSphere 环境中的证书。
本篇博文主要介绍了 vSphere 证书(替换)关系示意图

1. vSphere Certificate Architecture

一个 vSphere 虚拟化环境中一般包括一台或以上的 vCenter Server,外加一台或以上的 ESXi 主机。那么这样一个虚拟化环境中,其证书架构图如下所示:
在这里插入图片描述VMCA CA 作为 vSphere 中的根证书,为各种服务和组件签发证书。vSphere 环境中主要的证书有 ESXi 证书,Machine SSL 证书,Solution User 证书,SMS 证书,data-encipherment 证书以及 STS Signing 证书。如上图所示。其中

  • ESXi 证书存储在 ESXi 主机中,
  • Machine SSL 证书,Solution User 证书,SMS 证书,data-encipherment 证书存储在 VECS 中,
  • STS Signing 证书存储在 SSO 中。

2. 证书更新和替换概述

vSphere 支持用户根据公司安全策略和系统需求来使用企业签名 CA 替换 vSphere 默认证书。用户可以根据喜好,自行选择替换证书的方式,包括

  • 通过 vSphere Client UI (Certificate Management)
  • 通过 vSphere Certificate Manager 实用程序(certificate-manager)
  • 通过安装时附带的 CLI 手动执行证书替换(dir-cli、certool 和 vecs-cli )

2.1更新 VMCA 签名的证书

如果 VMCA 证书过期或由于其他原因要对其进行替换,可以使用证书管理 CLI 执行此过程。默认情况下,VMCA 根证书有效期为十年,且 VMCA 签名的所有证书都会在根证书过期时过期,即有效期最长为十年。

由 VMCA 签发的证书有两大类,分别是

  • Machine SSL Certificate 计算机 SSL 证书
  • Solution User Certificate解决方案用户证书

由 VMCA 签名的证书存储在 VECS 中

在这里插入图片描述

(1)使用 vSphere Client UI

在 UI 上只能对 Machine SSL 证书进行更新。

在这里插入图片描述

关于 VMCA 根证书,包括 Trusted Root 证书和解决方案用户证书,需要使用 CLI 工具(certificate-manager 或 dir-cli、certool、vecs-cli)来进行更新和替换。

(2)使用 vSphere Certificate Manager 命令行工具(自动)

更新时可以使用以下 选项:

  • Replace Machine SSL Certificate with VMCA Certificate (将计算机 SSL 证书替换为 VMCA 证书)
  • Replace Solution User Certificate with VMCA Certificate(将解决方案用户证书替换为 VMCA 证书)
  • Reset all Certificates(重置所有证书,包括 Machine SSL 和 Solution User 证书)

(3)使用 dir-cli、certool 和 vecs-cli 命令行工具(手动)

  • 生成新的 VMCA 签名根证书(请关注后续章节)
  • 生成新的计算机 SSL 证书(请关注后续章节)
  • 生成新的解决方案用户证书(请关注后续章节)

(4)使用 vSphere Automation API(自动化脚本)

以 Python 为例,Python API 提供了 vcenter.certificate_management.vcenter.Tls.renew() 方法,用于刷新 Machine SSL 证书。具体步骤请参考博客:【vSphere | Python】vSphere Automation SDK for Python Ⅶ—— Certificate Management APIs(上)

[!NOTE]

这里说明的 VMCA 签名的证书可以分为两种情况:

  • 第一种是 vSphere 默认证书。
  • 第二种是 VMCA 已经是企业自签证书,由 VMCA 继续签名 Machine SSL 和 Solution User 两大类证书,此时这两大类证书也是企业自签名证书。详见1.2 小节

2.2 使 VMCA 成为中间 CA

vSphere 支持将 VMCA 根证书替换为由企业 CA 或第三方 CA 签名的证书。

每次置备 VMCA 证书时都会签署自定义根证书,从而使 VMCA 成为中间 CA。

由第三方或企业 CA 签名的证书使用 VMCA 作为中间 CA

在这里插入图片描述

(1)使用 vSphere Certificate Manager 命令行工具(自动)

更新时可以使用以下 选项:

  • 将 VMCA 根证书替换为自定义签名证书并替换所有证书。
  • Replace Machine SSL Certificate with VMCA Certificate (将计算机 SSL 证书替换为 VMCA 证书)多节点增强型链接模式部署。
  • Replace Solution User Certificate with VMCA Certificate(将解决方案用户证书替换为 VMCA 证书)多节点增强型链接模式部署。

(2)使用 dir-cli、certool 和 vecs-cli 命令行工具(手动)

  • 替换根证书(中间 CA)(请关注后续章节)
  • 替换计算机 SSL 证书(中间 CA)(请关注后续章节)
  • 替换解决方案用户证书(中间 CA)(请关注后续章节)

2.3 使用自定义证书替换 VMCA 签名证书

vSphere 支持将现有的 VMCA 签名证书替换为自定义证书。如果使用外部CA直签证书替换,用户必须负责置备和监控所有证书。

外部证书直接存储在 VECS 中

在这里插入图片描述

(1)使用 vSphere Client UI

在 UI 上只能对 Machine SSL 证书进行替换成自定义证书。

在这里插入图片描述

(2)使用 vSphere Certificate Manager 命令行工具(自动)

更新时可以使用以下 选项:

  • Replace Machine SSL Certificate with Custom Certificate(将计算机 SSL 证书替换为自定义证书)
  • Replace Solution User Certificates with Custom Certificates(将解决方案用户证书替换为自定义证书)

(3)使用 dir-cli、certool 和 vecs-cli 命令行工具(手动)

  • 自定义根证书
  • 自定义计算机 SSL 证书

2.4 混合部署

vSphere 支持让 VMCA 提供一些证书,同时对基础架构的其他部分使用自定义证书。

例如,由于解决方案用户证书仅用于验证 vCenter Single Sign-On 的身份,因此可以考虑让 VMCA 提供这些证书。使用自定义证书替换计算机 SSL 证书,以确保所有 SSL 流量的安全。

公司策略通常不允许使用中间 CA。在这些情况下,混合部署是一种有效的解决方案。它会最大程度地减少要替换的证书数量并确保所有流量的安全。混合部署只保留内部流量,即解决方案用户流量,以便使用默认的 VMCA 签名证书。

在这里插入图片描述

2.5 ESXi 证书替换

ESXi 证书替换的情况分为两种:

  • 被 vCenter Server 纳管的 ESXi 主机
  • 不被 vCenter Server 纳管的 ESXi 主机

对于被 vCenter Server 纳管的 ESXi主机,用户可以从 vSphere Client 更改证书置备行为。

选项描述
VMware Certificate Authority(默认值)默认情况下,VMware Certificate Authority (VMCA) 被用作 ESXi 主机证书的证书颁发机构 (CA) 。默认情况下,VMCA 为根 CA,但可将其设置为其他 CA 的中间 CA。在 vmca 模式下,您可以从 vSphere Client 中续订和刷新证书。如果 VMCA 是辅助证书,也将使用 VMCA。
自定义证书颁发机构模式如果希望仅使用第三方或企业 CA 签名的自定义证书,则使用此模式。在自定义模式下,您必须自行管理证书。从 vSphere 8.0 Update 3 开始,用户可以从 vSphere Client 中管理自定义证书。
**注:**除非将证书模式更改为“自定义证书颁发机构”( custom),否则在 vSphere Client 中选择 续订等情况下,VMCA 可能会替换自定义证书。
指纹模式vSphere 5.5 使用指纹模式,且此模式在 vSphere 6.x 中仍可用作后备选项。在此模式下,vCenter Server 会检查证书格式是否正确,但不会检查证书是否有效。甚至会接受已过期的证书。
除非使用其他两种模式之一时遇到无法解决的问题,否则不要使用此模式。某些 vCenter Server 6.x 及更高版本服务在指纹模式下可能无法正常运行。

对于不被 vCenter Server 纳管的 ESXi 主机,用户需要借助 ESXi 命令行工具来刷新证书。

参考文献

关联博文

关于深入浅出 vSphere 证书,请查阅下面的博文:
1:初识和了解 vSphere证书
2:了解 vSphere 证书的类型,作用以及保存位置
3:vSphere 证书的更新和替换概述

NOWSHUT
关注
  • 5
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
vSphere 8 自签名证书】企业 CA 签名证书替换 vSphere Machine SSL 证书Ⅲ—— 颁发自签名证书
VMware, Windows, Linux, Cisco, Container, Kubernetes, Kali
10-20 732
博文主要描述了如何在 Windows Server 2019 中使用 Microsoft 证书颁发机构颁发适用于 vSphere 7.x 和 8.x 版本的自签名 Machine SSL 证书
vSphere 8 自签名 VMCA 证书】企业 CA 签名证书替换 vSphere VMCA CA 证书Ⅲ—— 颁发自签名与替换 VMCA 证书
VMware, Windows, Linux, Cisco, Container, Kubernetes, Kali
12-02 1442
博文主要描述了如何在 Windows Server 2019 中使用 Microsoft 证书颁发机构颁发适用于 vSphere 7.x 和 8.x 版本的自签名 VMCA 证书以及在 vCenter Server 8 上通过实用工具 certificate-manager 将 vSphere 默认VMCA CA 证书替换为 企业 CA 自签名证书。适用的 vSphere 版本为 vSphere 7.0.x 和 vSphere 8.0.x。
vSphere 8 自签名证书】企业 CA 签名证书替换 vSphere Machine SSL 证书Ⅳ—— 替换默认证书
VMware, Windows, Linux, Cisco, Container, Kubernetes, Kali
10-23 1027
博文主要描述了在 vCenter Server 8 上通过实用工具 certificate-manager 将 vSphere 默认 Machine SSL 证书替换为 企业 CA 自签名证书。适用的 vSphere 版本为 vSphere 7.0.x 和 vSphere 8.0.x
vSphere 8 自签名证书】企业 CA 签名证书替换 vSphere Machine SSL 证书Ⅰ—— 生成 CSR
VMware, Windows, Linux, Cisco, Container, Kubernetes, Kali
10-18 1722
本篇博文主要描述了如何在 vCenter Server 系统中使用实用工具 certificate-manager 生成自签名证书需要的证书签名请求 CSR。适用的 vSphere 版本为 vSphere 7.0.x 和 vSphere 8.0.x
vSphere 8 自签名证书】企业 CA 签名证书替换 vSphere Machine SSL 证书Ⅱ—— 创建和添加证书模板
VMware, Windows, Linux, Cisco, Container, Kubernetes, Kali
10-18 914
博文主要介绍了如何在 Windows Server 2019 中使用 Microsoft 证书颁发机构创建和添加适用于vSphere 7.x/8.x 版本的 Machine SSL 和 Solution User 证书模板
vsphere 7.x证书过期更新
coco3848的博客
01-15 3075
需要注意的是,在vSphere Web页面中更新证书仅仅是Machine的证书,vCenter需要使用的其他证书并没有更新。执行证书管理命令,选择选项6,更新Solution User Certificates。
vSphere | VM】虚拟机自定义规范Ⅰ—— 理论和兼容性
VMware, Windows, Linux, Cisco, Container, Kubernetes, Kali
12-08 1303
博文主要描述了虚拟机自定义规范的理论内容,包括虚拟机自定义规范的定义,对创建虚拟机自定义规范的要求和所支持的VM操作系统。
vSphere | VM】虚拟机自定义规范Ⅲ —— 创建 Linux 虚拟机自定义规范
VMware, Windows, Linux, Cisco, Container, Kubernetes, Kali
12-09 724
博文主要描述了如何创建 Linux 虚拟机自定义规范。
vSphere | VM】虚拟机自定义规范Ⅳ —— 使用虚拟机自定义规范创建 Linux 和 Windows VM
VMware, Windows, Linux, Cisco, Container, Kubernetes, Kali
12-17 1610
博文主要描述了使用虚拟机自定义规范创建VM的方法,并给出Windows和Linux示例。
vSphere 7/8】深入浅出 vSphere 证书 Ⅰ—— 初识和了解 vSphere证书
VMware, Windows, Linux, Cisco, Container, Kubernetes, Kali
08-16 147
本系列博文会深入浅出的引导读者认识,了解,理解 vSphere 环境中的证书。 本篇博文主要引导大家初识 vSphere 证书,描述如何快速查看 vSphere 证书
并发服务器
m0_71459026的博客
08-27 258
1.阻塞IO:fgets、scanf、read、recv、getchar。实现步骤:获取原文件描述符的属性->增加非阻塞属性->设置新属性。1.单循环服务器:同一时刻,只能处理一个客户端的任务;2.并发服务器:同一时刻,可以处理多个客户端的任务;:文件描述符,指向要进行操作的打开文件的描述符。(1)异步通知的IO方式,节省CPU;(1)实现多个IO同步的效果。,则它是要设置的值;(1)多个IO复用一个进程;(1)使用轮询的方法实现。(2)只能监测少量IO;(2)cpu占有率低。(2)cpu占有率高。
何为大模型服务器?如何明智地挑选?
HPC_Evan的博客
08-27 1119
拥有完备的 CUDA 环境、丰富多样的应用软件,如 TensorFlow、Pytorch 等,能够满足不同类型的模型训练需求,还有强大实用的函数库以及稳定可靠的 Ubuntu 22.04 LTS 64 位服务器版操作系统。对于企业而言,无论是优化生产流程的预测模型训练,还是提升客户体验的个性化推荐系统开发,这两款机型都能凭借出色的性能和稳定的运行,为企业节省时间和成本,提高市场竞争力。它们所具备的完善的软件和硬件配置,就像是为您精心打造的一把利剑,助您在大模型训练的道路上披荆斩棘,勇往直前。
服务器远程管理
m0_64827698的博客
08-26 1546
SSH两种级别的安全认证:基于口令(口令在网络上传播,易受中间人攻击),基于密钥(传公钥,公钥是否相同,公钥加密质询,私钥解密)(密钥不在网络上传)2.启用服务services.msc(telnet)/配置远程桌面服务gpedit.msc(rdp)/使⽤SSH,你可以把所有传输的数据进⾏加密,这样“中间 ⼈”这种攻击⽅式就不可能实现了。实验总结:在windows开启telnet服务(2019不支持),RDP服务,SSH。SSH协议允许⽤户通过配置⽂件⾃定义选择加密算法,以优化安全性和性能。
高防服务器中的流量清洗是什么意思?
wanhengwangluo的博客
08-27 311
高防服务器能够为企业防御一定的网络攻击,是网络游戏行业经常会选择的一款服务器类型,其中高防服务器的流量清洗则是指对服务器所接收的流量进行实时监测、识别和过滤,将恶意流量与攻击流量进行清除,保证网络能够正常运行。高防服务器还有着强大的并发处理能力,可以同时处理大量的流量请求,以此来保障网络服务的稳定性。当发现异常的流量或者是攻击行为,高防服务器能够做出实时响应,采取相应的防御措施,根据实际情况与攻击的趋势,及时调整流量过滤策略,提高防护效果,保障网络的安全。接下来我们就来探讨一下高防服务器中的流量清洗吧!
服务器与传统服务器的区别是什么?
kuaikuaixiaoxi的博客
08-29 640
而云服务器则因其灵活性、可扩展性和较低的维护成本,适合需要快速适应业务变化的企业。如果您正在寻找一种能够快速适应业务变化、降低运维成本的解决方案,那么云服务器可能是更好的选择。随着云计算技术的发展,越来越多的企业和个人用户开始转向云服务器,以替代传统的物理服务器。本文将详细探讨云服务器与传统服务器之间的区别,帮助读者更好地理解这两种服务器的特点,并为选择合适的服务提供指导。传统服务器:扩展能力受限于物理硬件的限制,通常需要物理操作,如添加硬件组件。传统服务器:通常具有较高的性能,因为它们的资源是独享的。
企业级WEB应用服务器TOMCAT
XLYhanfei的博客
08-27 784
Tomcat服务器是一个免费的开放源代码的Web应用服务器,属于轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用,Tomcat具有处理HTML页面的功能,它还是一个Servlet和 JSP容器。
【银河麒麟高级服务器操作系统】soft lockup软锁实例详细记录分析及处理建议
最新发布
银河麒麟操作系统的博客
08-30 567
现象:启nginx服务,但是报了softlock的错误,而且当时负载比较高,资源占用;建议:对于大量内存突然不知所踪,无法在各类内存统计项中找到这类内存黑洞现象,通常都是由于驱动应用、硬件异常或是虚拟化环境宿主机异常导致。建议排查虚拟机问题时间点进行的相关操作以及宿主机虚拟化平台状态。
Linux 实时调度器:带宽限制
JiMoKuangXiangQu的专栏
08-27 488
Linux,实时调度器,带宽(bandwidth)限制
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

NOWSHUT

给点饭钱谢谢,我会努力更新!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值