Visão geral do repositório de certificados de endpoint do VMware

O VMware repositório de certificados de endpoint (VECS) serve como um repositório local (do lado do cliente) para certificados, chaves privadas e outras informações de certificado que podem ser armazenadas em um armazenamento de chaves. Você pode decidir não usar o VMCA como sua autoridade de certificação e signatário do certificado, mas deve usar o VECS para armazenar todos os certificados do vCenter, chaves e assim por diante. Os certificados ESXi são armazenados localmente em cada host e não no VECS.

O VECS é executado como parte do VMware Authentication Framework Daemon (VMAFD). O VECS é executado em cada nó vCenter Server e contém os armazenamentos de chaves que contêm os certificados e as chaves.

O VECS consulta o serviço de diretório do VMware (vmdir) periodicamente em busca de atualizações para o repositório raiz confiável. Você também pode gerenciar explicitamente certificados e chaves no VECS usando comandos vecs-cli. Consulte Referência do comando vecs-cli.

O VECS inclui as seguintes lojas.

Tabela 1. Armazena no VECS
Loja	Descrição
Armazenamento SSL da máquina (MACHINE_SSL_CERT)	Usado pelo serviço de proxy reverso em cada nó do vSphere. Usado pelo serviço de diretório VMware (vmdir) em cada nó vCenter Server. Todos os serviços no vSphere 6.0 e versões posteriores se comunicam por meio de um proxy reverso, que usa o certificado SSL da máquina. Para compatibilidade com versões anteriores, os serviços 5.x ainda usam portas específicas. Como resultado, alguns serviços, como vpxd, ainda têm sua própria porta aberta.
Repositórios de usuários de soluções `machine` `vpxd` `vpxd-extension` `vsphere-webclient` `wcp`	O VECS inclui uma loja para cada usuário da solução. O assunto de cada certificado de usuário de solução deve ser exclusivo, por exemplo, o certificado da máquina não pode ter o mesmo assunto que o certificado vpxd. Os certificados de usuário de solução são usados para autenticação com o vCenter Single Sign-On. vCenter Single Sign-On verifica se o certificado é válido, mas não verifica outros atributos do certificado. Os seguintes armazenamentos de certificados de usuário de solução estão incluídos no VECS: `machine`: usado pelo servidor de licença e o serviço de log. Observação: O certificado de usuário da solução de máquina não tem nada a ver com o certificado SSL da máquina. O certificado de usuário da solução de máquina é usado para a troca de token SAML. O certificado SSL da máquina é usado para conexões SSL seguras para uma máquina. `vpxd`: vCenter service daemon (vpxd) store. O vpxd usa o certificado de usuário da solução que está armazenado neste repositório para autenticar o vCenter Single Sign-On. `vpxd-extension`: armazenamento de extensões do vCenter. Inclui o serviço Auto Deploy, o serviço de inventário e outros serviços que não fazem parte de outros usuários da solução. `vsphere-webclient`: vSphere Client store. Também inclui alguns serviços adicionais, como o serviço de gráfico de desempenho. `wcp`: VMware vSphere^® com VMware Tanzu™ store. Cada nó vCenter Server inclui um certificado `machine`.
Repositório raiz confiável (TRUSTED_ROOTS)	Contém todos os certificados raiz confiáveis.
vSphere Certificate Manager Armazenamento de backup de utilitário (BACKUP_STORE)	Usado pelo VMCA (VMware Certificate Manager) para oferecer suporte à reversão de certificado. Apenas o estado mais recente é armazenado como backup. Não é possível retroceder mais de uma etapa.
Outras lojas	Outras lojas podem ser adicionadas por soluções. Por exemplo, a solução Virtual Volumes adiciona um armazenamento de SMS. Não modifique os certificados nesses repositórios, a menos que a documentação da VMware ou um artigo da base de conhecimento do VMware instrua você a fazê-lo. Observação: Excluir o repositório TRUSTED_ROOTS_CRLS pode danificar sua infraestrutura de certificado. Não exclua ou modifique o repositório TRUSTED_ROOTS_CRLS.

O serviço vCenter Single Sign-On armazena o certificado de assinatura de token e seu certificado SSL no disco. Você pode alterar o certificado de assinatura de token na CLI.

Alguns certificados são armazenados no sistema de arquivos, temporariamente durante a inicialização ou permanentemente. Não altere os certificados no sistema de arquivos.

Observação: Não altere nenhum arquivo de certificado no disco, a menos que seja instruído pela documentação do VMware ou pelos artigos da base de conhecimento. Caso contrário, pode ocorrer um comportamento imprevisível.