Skip to main content
E-Series Systems
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

憑證總覽

貢獻者

vCenter儲存外掛程式中的「憑證管理」可讓您建立憑證簽署要求(CSR)、匯入憑證、以及管理現有的憑證。

什麼是憑證?

憑證是數位檔案、可識別網站和伺服器等線上實體、以便在網際網路上進行安全通訊。它們確保Web通訊只能在指定的伺服器和用戶端之間以加密形式進行傳輸、無論是私下傳輸或是未經變更。使用Storage Plugin for vCenter、您可以管理主機管理系統上瀏覽器的憑證、以及探索到的儲存陣列中的控制器。

憑證可以由信任的授權單位簽署、也可以自行簽署。「簽署」只是指有人驗證擁有者的身分、並判斷其裝置是否值得信任。

儲存陣列會在每個控制器上隨附自動產生的自我簽署憑證。您可以繼續使用自我簽署的憑證、或是取得CA簽署的憑證、以便在控制器與主機系統之間建立更安全的連線。

註 雖然CA簽署的憑證可提供更好的安全保護(例如預防攔截式攻擊)、但如果您的網路規模較大、也需要支付昂貴的費用。相較之下、自我簽署的憑證較不安全、但完全免費。因此、自我簽署的憑證最常用於內部測試環境、而非正式作業環境。

簽署的憑證

已簽署的憑證會由信任的協力廠商組織之憑證授權單位(CA)驗證。簽署的憑證包括實體擁有者(通常是伺服器或網站)、憑證發行日期和到期日期、實體的有效網域、以及由字母和數字組成的數位簽章等詳細資料。

當您開啟瀏覽器並輸入網址時、系統會在背景執行憑證檢查程序、以判斷您是否要連線至內含有效CA簽署憑證的網站。一般而言、以簽署憑證保護的站台會在位址中包含掛鎖圖示和https指定名稱。如果您嘗試連線至不含CA簽署憑證的網站、瀏覽器會顯示網站不安全的警告。

CA會在應用程式處理期間採取步驟來驗證您的身分。他們可能會傳送電子郵件給您的註冊企業、驗證您的公司地址、並執行HTTP或DNS驗證。應用程式程序完成後、CA會傳送數位檔案給您、以便載入主機管理系統。通常、這些檔案包括信任鏈、如下所示:

  • -階層頂端是根憑證、其中包含用於簽署其他憑證的私密金鑰。根可識別特定的CA組織。如果您的所有網路裝置都使用相同的CA、則只需要一個根憑證。

  • 中級:從根目錄下分出的是中繼憑證。CA會發出一或多個中繼憑證、做為受保護根憑證與伺服器憑證之間的中間人。

  • 伺服器:在鏈結底部是伺服器憑證、可識別您的特定實體、例如網站或其他裝置。儲存陣列中的每個控制器都需要個別的伺服器憑證。

自我簽署的憑證

儲存陣列中的每個控制器都包含預先安裝的自我簽署憑證。自我簽署的憑證與CA簽署的憑證類似、只是由實體擁有者(而非第三方)驗證。如同CA簽署的憑證、自我簽署的憑證也包含自己的私密金鑰、同時確保資料經過加密、並透過伺服器與用戶端之間的HTTPS連線傳送。

自我簽署的憑證不受瀏覽器「信任」。每次您嘗試連線至僅包含自我簽署憑證的網站時、瀏覽器都會顯示警告訊息。您必須按一下警告訊息中的連結、以便繼續前往網站;如此一來、您基本上就會接受自我簽署的憑證。

管理證書

當您開啟外掛程式時、瀏覽器會檢查數位憑證、以驗證管理主機是否為信任來源。如果瀏覽器找不到CA簽署的憑證、則會開啟警告訊息。您可以從這裡繼續前往網站、接受該工作階段的自我簽署憑證。您也可以從CA取得已簽署的數位憑證、因此不會再看到警告訊息。

信任的憑證

在外掛程式工作階段期間、當您嘗試存取沒有CA簽署憑證的控制器時、可能會看到其他安全性訊息。在此情況下、您可以永久信任自我簽署的憑證、也可以匯入控制器的CA簽署憑證、讓外掛程式能夠驗證這些控制器傳入的用戶端要求。