VMware vCenter中的Certificate Authority是如何工作的

77次阅读
没有评论

共计 2789 个字符,预计需要花费 7 分钟才能阅读完成。

本篇文章给大家分享的是有关 VMware vCenter 中的 Certificate Authority 是如何工作的,丸趣 TV 小编觉得挺实用的,因此分享给大家学习,希望大家阅读完这篇文章后可以有所收获,话不多说,跟着丸趣 TV 小编一起来看看吧。

VMware vSphere vCenter Server Appliance (简称为 VCSA) 中包含一个 Platform Service Controller 的系列服务。VMware Certificate Authority(简称 VMCA)就是其中不可或缺的一员。vCenter Server 核心的身份认证服务包括以下 3 个组件:

1)VMCA,VMware 证书管理服务

2)VMAFD,VMware Authentication Framework Daemon

3)VMDIR,VMware Directory Service,目录服务

1、VMCA

VMCA 面向 VMware 环境中的 VMware 产品提供的电子证书服务,其命令行工具存放在 vCenter Server 上,见下文:

#/usr/lib/vmware-vmca/certificate-manager 
// 运行上述的命令行后,会出现以下内容: _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ 
 | |
 | *** Welcome to the vSphere 6.7 Certificate Manager *** |
 | |
 | -- Select Operation -- |
 | |
 | 1. Replace Machine SSL certificate with Custom Certificate |
 | |
 | 2. Replace VMCA Root certificate with Custom Signing |
 | Certificate and replace all Certificates |
 | |
 | 3. Replace Machine SSL certificate with VMCA Certificate |
 | |
 | 4. Regenerate a new VMCA Root Certificate and |
 | replace all certificates |
 | |
 | 5. Replace Solution user certificates with |
 | Custom Certificate |
 | |
 | 6. Replace Solution user certificates with VMCA certificates |
 | |
 | 7. Revert last performed operation by re-publishing old |
 | certificates |
 | |
 | 8. Reset all Certificates |
 |_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _|
Note : Use Ctrl-D to exit.

VMCA 为以下用户签发证书:

1)系统用户,SAML 证书,用于验证身份,存放在 VECS(Endpoint Certificate Store,证书存放点)内,一般来说其证书有效期为 2592000 秒,即 30 天

2)ESXi 主机,SSL 证书,用于通信加密,存放在主机本地磁盘中

3)运行相关服务的服务器,SSL 证书,用于通信加密,存放在 VECS 内

即,VMCA 只向同一个域内、想要使用 SSO(single sign-on,单点登录)登录的客户端发放证书。VMware 产品则使用标准的 X.509 version 3(X.509v3)证书来存放 Session 证书。这些证书也要通过 SSL 加密过的网络连接发送。

2019 年 11 月 5 日,我与其他 4 人在北京参加 ICW,VMware 北京公司的寇学旭老师说,vCenter Server 两个登录客户的登录端口看上去似乎都是 443,但实际上一个是 5443,一个 9443。我不相信,登录到 vCenter Server,看到如下结果:

netstat -nlp |grep 443
tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN 2196/rhttpproxy 
tcp 0 0 0.0.0.0:9443 0.0.0.0:* LISTEN 2374/vsphere-client
tcp 0 0 0.0.0.0:5443 0.0.0.0:* LISTEN 2396/vsphere-ui.lau
tcp6 0 0 :::443 :::* LISTEN 2196/rhttpproxy

上面的结果中,负责展示网页的是 rhttpproxy,那个叫 vsphere-client 的是老式的、即将退出历史舞台的、基于 Adobe Flex 的客户端。vsphere-ui.lau 则是那个基于 HTML 5 的新式客户端。

2、VMAFD

/usr/lib/vmware-vmadir-cli, certool, and vecs-cl

3、VMDIR

它提供的是目录服务(Active Directory)。

证书相关命令 Windows

C:\Program Files\VMware\vCenter Server\vmafdd\vecs-cli.exe
C:\Program Files\VMware\vCenter Server\vmafdd\dir-cli.exe
C:\Program Files\VMware\vCenter Server\vmcad\certool.exe
C:\Program Files\VMware\VCenter server\VMware Identity Services\sso-config
VCENTER_INSTALL_PATH\bin\service-control

Linux

/usr/lib/vmware-vmafd/bin/vecs-cli

# /usr/lib/vmware-vmafd/bin/vecs-cli store list

# /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store vpxd

/usr/lib/vmware-vmafd/bin/dir-cli
/usr/lib/vmware-vmca/bin/certool
/opt/vmware/bin
 

以上就是 VMware vCenter 中的 Certificate Authority 是如何工作的,丸趣 TV 小编相信有部分知识点可能是我们日常工作会见到或用到的。希望你能通过这篇文章学到更多知识。更多详情敬请关注丸趣 TV 行业资讯频道。

正文完
 
丸趣
版权声明:本站原创文章,由 丸趣 2023-08-16发表,共计2789字。
转载说明:除特殊说明外本站除技术相关以外文章皆由网络搜集发布,转载请注明出处。
评论(没有评论)