VMware Armazenamento de certificados do endpoint

VMware O Endpoint Certificate Store (VECS) funciona como um repositório local (do lado do cliente) para certificados, chaves privadas e outras informações de certificado que podem ser armazenadas em um keystore. Você pode decidir não usar a VMCA como sua autoridade de certificação e assinante de certificado, mas deve usar o VECS para armazenar todos os vCenter certificados, chaves e assim por diante. Os certificados ESXi são armazenados localmente em cada host e não no VECS.

O VECS é executado como parte do VMware Authentication Framework Daemon (VMAFD). O VECS é executado em cada nó vCenter Server e mantém os armazenamentos de chaves que contêm os certificados e as chaves.

O VECS pesquisa o VMware Serviço de Diretório (vmdir) periodicamente em busca de atualizações no repositório raiz confiável. Você também pode gerenciar certificados e chaves explicitamente no VECS usando comandos vecs-cli. Consulte Referência do comando vecs-cli.

O VECS inclui os seguintes armazenamentos.

Tabela 1. Lojas no VECS
Loja	Descrição
Armazenamento SSL da máquina (MACHINE_SSL_CERT)	Usado pelo serviço de proxy reverso em cada nó vSphere. Usado pelo Serviço de Diretório VMware (vmdir) em cada nó vCenter Server. Todos os serviços no vSphere 6.0 e versões posteriores se comunicam por meio de um proxy reverso, que usa o certificado SSL da máquina. Para fins de compatibilidade com versões anteriores, os serviços do 5.x ainda usam portas específicas. Como resultado, alguns serviços, como o vpxd, ainda têm sua própria porta aberta.
Armazenamentos do usuário da solução `machine` `vpxd` `vpxd-extension` `vsphere-webclient` `wcp`	O VECS inclui um repositório para cada usuário da solução. O assunto de cada certificado de usuário da solução deve ser exclusivo, por exemplo, o certificado da máquina não pode ter o mesmo assunto que o certificado vpxd. Os certificados de usuário da solução são usados para autenticação com vCenter Single Sign-On. vCenter Single Sign-On verifica se o certificado é válido, mas não verifica outros atributos de certificado. Os seguintes repositórios de certificados do usuário da solução estão incluídos no VECS: `machine`: usado pelo servidor de licença e pelo serviço de log. Observação: O certificado de usuário da solução da máquina não tem nada a ver com o certificado SSL da máquina. O certificado de usuário da solução de máquina é usado para a troca de token SAML. O certificado SSL da máquina é usado para conexões SSL seguras para uma máquina. `vpxd`: vCenter repositório do daemon de serviço (vpxd). O vpxd usa o certificado de usuário da solução que está armazenado nesse repositório para autenticar para vCenter Single Sign-On. `vpxd-extension`: vCenter repositório de extensões. Inclui o serviço de Implantação automática, o serviço de inventário e outros serviços que não fazem parte de outros usuários da solução. `vsphere-webclient`: vSphere Client loja. Também inclui alguns serviços adicionais, como o serviço de gráfico de desempenho. `wcp`: VMware vSphere^® com armazenamento de VMware Tanzu™. Cada nó vCenter Server inclui um certificado `machine`.
Armazenamento raiz confiável (TRUSTED_ROOTS)	Contém todos os certificados raiz confiáveis.
vSphere Certificate Manager Armazenamento de backup do utilitário (BACKUP_STORE)	Usado pelo VMCA (VMware Certificate Manager) para oferecer suporte à reversão de certificado. Somente o estado mais recente é armazenado como backup; você não pode voltar mais de uma etapa.
Outras lojas	Outros repositórios podem ser adicionados por soluções. Por exemplo, a solução Volumes Virtuais adiciona um repositório de SMS. Não modifique os certificados nesses repositórios, a menos que a documentação do VMware ou um artigo da Base de conhecimento do VMware o instrua a fazê-lo. Observação: A exclusão do repositório TRUSTED_ROOTS_CRLS pode danificar sua infraestrutura de certificados. Não exclua nem modifique o repositório TRUSTED_ROOTS_CRLS.

O serviço vCenter Single Sign-On armazena o certificado de autenticação de token e seu certificado SSL no disco. Você pode alterar o certificado de autenticação de token na CLI.

Alguns certificados são armazenados no sistema de arquivos, temporariamente durante a inicialização ou permanentemente. Não altere os certificados no sistema de arquivos.

Observação: Não altere nenhum arquivo de certificado no disco, a menos que instruído pela documentação VMware ou pelos artigos da base de conhecimento. Caso contrário, pode haver um comportamento imprevisível.