O VMware repositório de certificados de endpoint (VECS) serve como um repositório local (do lado do cliente) para certificados, chaves privadas e outras informações de certificado que podem ser armazenadas em um armazenamento de chaves. Você pode decidir não usar o VMCA como sua autoridade de certificação e signatário do certificado, mas deve usar o VECS para armazenar todos os certificados do vCenter, chaves e assim por diante. Os certificados ESXi são armazenados localmente em cada host e não no VECS.
O VECS é executado como parte do VMware Authentication Framework Daemon (VMAFD). O VECS é executado em cada nó vCenter Server e contém os armazenamentos de chaves que contêm os certificados e as chaves.
O VECS consulta o serviço de diretório do VMware (vmdir) periodicamente em busca de atualizações para o repositório raiz confiável. Você também pode gerenciar explicitamente certificados e chaves no VECS usando comandos vecs-cli. Consulte Referência do comando vecs-cli.
Loja | Descrição |
---|---|
Armazenamento SSL da máquina (MACHINE_SSL_CERT) |
Todos os serviços no vSphere 6.0 e versões posteriores se comunicam por meio de um proxy reverso, que usa o certificado SSL da máquina. Para compatibilidade com versões anteriores, os serviços 5.x ainda usam portas específicas. Como resultado, alguns serviços, como vpxd, ainda têm sua própria porta aberta. |
Repositórios de usuários de soluções
|
O VECS inclui uma loja para cada usuário da solução. O assunto de cada certificado de usuário de solução deve ser exclusivo, por exemplo, o certificado da máquina não pode ter o mesmo assunto que o certificado vpxd. Os certificados de usuário de solução são usados para autenticação com o vCenter Single Sign-On. vCenter Single Sign-On verifica se o certificado é válido, mas não verifica outros atributos do certificado. Os seguintes armazenamentos de certificados de usuário de solução estão incluídos no VECS:
Cada nó vCenter Server inclui um certificado |
Repositório raiz confiável (TRUSTED_ROOTS) | Contém todos os certificados raiz confiáveis. |
vSphere Certificate Manager Armazenamento de backup de utilitário (BACKUP_STORE) | Usado pelo VMCA (VMware Certificate Manager) para oferecer suporte à reversão de certificado. Apenas o estado mais recente é armazenado como backup. Não é possível retroceder mais de uma etapa. |
Outras lojas | Outras lojas podem ser adicionadas por soluções. Por exemplo, a solução Virtual Volumes adiciona um armazenamento de SMS. Não modifique os certificados nesses repositórios, a menos que a documentação da VMware ou um artigo da base de conhecimento do VMware instrua você a fazê-lo.
Observação: Excluir o repositório TRUSTED_ROOTS_CRLS pode danificar sua infraestrutura de certificado. Não exclua ou modifique o repositório TRUSTED_ROOTS_CRLS.
|
O serviço vCenter Single Sign-On armazena o certificado de assinatura de token e seu certificado SSL no disco. Você pode alterar o certificado de assinatura de token na CLI.
Alguns certificados são armazenados no sistema de arquivos, temporariamente durante a inicialização ou permanentemente. Não altere os certificados no sistema de arquivos.