当前位置：首页 > news >正文

【vSphere 7/8】深入浅出 vSphere 证书 Ⅰ—— 初识和了解 vSphere证书

news 2025/9/19 13:19:41

摘要
1. vSphere 安全证书
- 1.1 vSphere 安全证书的类型和有效期
2. 在 vSphere Client 中初识 vSphere 证书
- 2.1 vCenter 8.0.3 的 vSphere Client 界面
- 2.2 vCenter Server 7.0 Update2 到 vCenter Server 8.0 Update 2 的 vSphere Client 界面
- 2.3 vCenter Server 7.0 到 vCenter Server 7.0 Update1 的 vSphere Client 界面
3. 为什么证书对 vSphere 环境至关重要
4. 管理证书
- 4.1 使用 vSphere Client
- 4.2 使用 vSphere Automation API
- 4.3 使用 vSphere Certificate Manager 命令行工具
- 4.4 使用 CLI 命令执行手动证书替换
参考文献

摘要

本系列博文会深入浅出的引导读者认识，了解，理解 vSphere 环境中的证书。
本篇博文主要引导大家初识 vSphere 证书，描述如何快速查看 vSphere 证书

这里的 vSphere 证书包括 vCenter Server 和 ESXi 的证书。除了 ESXi 证书，其他证书均在 vCenter Server 中。

1. vSphere 安全证书

vSphere 通过使用证书来加密通信，对服务进行身份验证，以及对令牌进行签名来提供安全性。

vSphere 证书的作用：

对两个节点（例如 vCenter Server 和 ESXi 主机）之间的通信进行加密。
对 vSphere 服务进行身份验证。
执行内部操作，如对令牌进行签名。

vSphere 的内部证书颁发机构 VMware Certificate Authority (VMCA) 提供 vCenter Server 和 ESXi 所需的所有证书。每一个 vCenter Server 主机上均安装了 VMCA，其可立即确保解决方案的安全，而不进行任何其他修改。保留此默认配置可为证书管理提供最低操作开销。vSphere 提供了一种证书更新机制，用于在这些证书过期时进行续订。

vSphere 还提供了一种证书替换机制，用于将某些证书替换为用户自己的证书。但是，仅替换在节点之间提供加密的 SSL 证书，以保持较低的证书管理开销。

模式	描述	优势
VMCA 默认证书	VMCA 为 vCenter Server 和 ESXi 主机提供所有证书。	最简单和最低开销。VMCA 可以管理 vCenter Server 和 ESXi 主机的证书生命周期。
使用外部 SSL 证书的 VMCA 默认证书（混合模式）	替换 vCenter Server 的 SSL 证书，并允许 VMCA 管理解决方案用户和ESXi 主机的证书。（可选）对于安全性很重要的部署，还可以替换 ESXi主机的 SSL 证书。	简单且安全。VMCA 会管理内部证书，但允许用户使用企业批准的 SSL 证书，并让浏览器信任

VMware 官方建议，既不要替换解决方案用户证书或 STS 证书，也不要使用辅助 CA 取代 VMCA。如果选择任意一种选项，都可能会遇到很大复杂性和对安全产生负面影响的可能性，以及不必要地提高操作风险。有关管理 vSphere 环境内的证书的更多信息，请参见标题为 New Product Walkthrough - Hybrid vSphere SSL Certificate Replacement 的博客。

1.1 vSphere 安全证书的类型和有效期

在 vSphere （ vCenter 和 ESXi ）环境中主要的证书有5个类型。

Certificate Type / 证书类型	Valid 有效期	刷新后的有效期
Root certificate / 根证书	10 年	10 年
VMCA Root certificate / VMCA根证书	10 年	10 年
Machine SSL certificate / 计算机 SSL 证书	2 年	2 年
Solution user certificate / 解决方案用户证书	10 年	2 年
ESXi certificate / ESXi 证书	5年	5年

其中

Root certificate（根证书），它是所有 VMware vSphere 安全证书的 CA，该证书无法替换。
VMCA Root certificate（VMCA根证书），可用于中间CA，用户可以替换该根证书（建议不替换），

它可以为 Machine SSL certificate（计算机 SSL 证书）和 Solution user certificate（解决方案用户证书签名），即 Machine SSL certificate 和 Solution user certificate是其子证书。
Machine SSL certificate（计算机 SSL 证书）是经过 VMCA Root certificate 证书签名的证书。如果使用企业CA直接自定该证书也是可以的。即绕开 VMCA 根证书。
Solution user certificate（解决方案用户证书签名）也是经过 VMCA Root certificate 证书签名的证书。如果使用企业 CA 直接自定该证书也是可以的。即绕开 VMCA 根证书。
ESXi certificate （ ESXi 证书），刚创建且未加入 vCenter 的 ESXi 在安装时会自签发证书。在加入 vCenter 时，vCenter 的 VMCA 会自动对 ESXi 签发并替换 ESXi 证书。

2. 在 vSphere Client 中初识 vSphere 证书

绝大多数用户刚开始都是在 vSphere Client UI 中接触到 vSphere 证书。那么 vSphere 证书在 vSphere Client UI 中哪个位置？

我们通过 administrator@vsphere.local 账户登录 vSphere Client UI 后，转到 菜单 > Administration > Certificates > Certificate Management

在这个界面中我们可以观察到上面小节中提到的部分证书。

根据 vCenter Server 版本的不同，该界面会有一些差异，具体差异如下：

2.1 vCenter 8.0.3 的 vSphere Client 界面

最新的 vCenter 8.0.3 将 Machine SSL，STS Signing 和 VMCA Root，Trusted Root 证书分别分为一个标签页。

在这里插入图片描述

2.2 vCenter Server 7.0 Update2 到 vCenter Server 8.0 Update 2 的 vSphere Client 界面

Machine SSL，STS Signing 和 VMCA Root，Trusted Root 证书在同一页面显示。
在这里插入图片描述

2.3 vCenter Server 7.0 到 vCenter Server 7.0 Update1 的 vSphere Client 界面

Machine SSL，VMCA Root 和 Trusted Root 证书在同一页面显示，不显示 STS Signing 证书。

在这里插入图片描述

在 Certificate Management 界面我们可以对部分证书进行管理，包括

查看证书具体信息（VIEW DETAILS）
更新证书（Renew）
导入和替换自定义证书（Import and Replace Certificate）
生成证书签名请求（Generate Certificate Signing Request (CSR)）

在 vSphere Client UI 上用户是看不到 Solution user certificate / 解决方案用户证书，因此对于该类型证书的管理，我们需要借助 VCSA 的 CLI 工具，该部分内容本系列博客后续博文会详细说明。

3. 为什么证书对 vSphere 环境至关重要

在 vSphere 环境中证书的至关重要，它直接影响 vCenter 的服务是否能正常启动和运行，如果证书过期，那么 vCenter 的服务会相应进入停止（stopped）状态，从而导致 vSphere Client UI 无法访问，进而导致用户不能正常管理 vSphere 虚拟化环境。

后续博文会对证书失效后，出现的报错和如何更新证书进行详细说明。

4. 管理证书

用户可以使用不同界面管理证书。包括通过 vSphere Client 管理证书，也可以使用 API、脚本或 CLI 管理证书。

vSphere 提供4种方式管理证书：

使用 vSphere Client
使用 vSphere Automation API
vSphere Certificate Manager 命令行工具
使用 CLI 命令执行手动证书替换：使用 dir-cli、certool 和 vecs-cli 执行所有证书管理任务。关于 STS 证书管理，需要使用 sso-config 实用程序。

4.1 使用 vSphere Client

一般的，我们较熟悉的方式是 vSphere Client UI管理证书，包括的证书的查看，更新和自定义证书替换。

实际使用起来，建议使用 vSphere Client 查看 STS 证书信息，关于证书更新和使用自定义证书替换默认 vSphere 证书，建议通过 CLI 的形式来操作。

使用 UI 操作可能会造成报错或更新失败。

4.2 使用 vSphere Automation API

vSphere Automation API 一般用于 vSphere 自动化工作中，关于这个知识点我们有另外的专栏进行说明: vSphere Python 自动化

VMware 官方也给出了《VMware vSphere Automation SDK 编程指南》。这部分涉及到编程，可选择的编程语言有 Java，Python等。

4.3 使用 vSphere Certificate Manager 命令行工具

vSphere Certificate Manager 工具是处理 vSphere 证书问题的利器，基本上主要的证书更新，它都能可以实现，除了 STS 证书。

该工具的执行文件位于：/usr/lib/vmware-vmca/bin/certificate-manager

certificate-manager 给出了8个选项，可以单独更新 Machine SSL certificate，也可以单独更新 Solution user certificates 亦可以替换所有证书。此外它还支持使用企业 CA 签名的证书来替换原有证书。

4.4 使用 CLI 命令执行手动证书替换

除了上述三种半自动/自动化工具外，我们也可以通过 vSphere 提供的三个命令行工具（ dir-cli、certool 和 vecs-cli ），手动的管理每一个证书。前面提到在 vSphere Client UI 上看不到 Solution user certificate / 解决方案用户证书，我们需要使用 dir-cli 和 vecs-cli 工具进行查看其详细信息和有效期。

几乎所有证书管理任务均能使用 dir-cli、certool 和 vecs-cli 三个 CLI 工具进行操作。

关于 STS 证书，首先我们需要了解 vCenter Server Security Token Service (STS) ，它是一项发布、验证和续订安全令牌的 Web 服务。其证书并不保存在 VECS 中，而是在 STS 服务中。同时也可以使用 certool 工具和 sso-config 实用程序对 STS 证书进行更新。

参考文献

vSphere 7 ：vSphere Security Certificates
vSphere 8 ：vSphere Security Certificates

目录

摘要