VMware Endpoint 证书存储 (VECS) 充当可以存储在密钥库中的证书、专用密钥以及其他证书信息的本地(客户端)存储库。可以选择不使用 VMCA 作为证书颁发机构和证书签名者,但必须使用 VECS 存储所有 vCenter 证书、密钥等。ESXi 证书存储在每个本地主机中,而不是 VECS 中。

VECS 作为 VMware 身份验证框架守护进程 (VMAFD) 的一部分运行。VECS 在每个嵌入式部署、Platform Services Controller 节点以及管理节点上运行,并保留包含证书和密钥的密钥库。

对于 TRUSTED_ROOTS 存储的更新内容,VECS 会定期轮询 VMware Directory Service (vmdir)。还可以使用 vecs-cli 命令显式管理 VECS 中的证书和密钥。请参见vecs-cli 命令参考

VECS 包括以下库。

表 1. VECS 中的库

描述

计算机 SSL 库 (MACHINE_SSL_CERT)

  • 由每个 vSphere 节点上的反向代理服务使用。

  • 由 VMware Directory Service (vmdir) 在嵌入式部署和每个 Platform Services Controller 节点上使用。

vSphere 6.0 中的所有服务通过使用计算机 SSL 证书的反向代理进行通信。为了实现向后兼容性,5.x 服务仍使用特定端口。因此,某些服务(如 vpxd)仍使其自身的端口处于打开状态。

受信任的根库 (TRUSTED_ROOTS)

包含所有受信任的根证书。

解决方案用户库

  • machine

  • vpxd

  • vpxd-extensions

  • vsphere-webclient

VECS 为每个解决方案用户提供一个库。每个解决方案用户证书的主题必须是唯一的,例如计算机证书不能具有与 vpxd 证书相同的主题。

解决方案用户证书用于对 vCenter Single Sign-On 进行身份验证。vCenter Single Sign-On 会检查证书是否有效,但不检查其他证书属性。在嵌入式部署中,所有解决方案用户证书都位于相同的系统中。

以下解决方案用户证书存储包括在每个管理节点和每个嵌入式部署的 VECS 中:

  • machine:由组件管理器、许可证服务器和日志记录服务使用。

    注:

    计算机解决方案用户证书与计算机 SSL 证书没有任何关系。计算机解决方案用户证书用于进行 SAML 令牌交换;计算机 SSL 证书用于计算机的安全 SSL 连接。

  • vpxd:vCenter 服务守护程序 (vpxd) 库位于管理节点和嵌入式部署上。vpxd 使用此库中存储的解决方案用户证书对 vCenter Single Sign-On 进行身份验证。

  • vpxd-extensions:vCenter 扩展库。包括 Auto Deploy 服务、Inventory Service 以及不属于其他解决方案用户的其他服务。

  • vsphere-webclientvSphere Web Client 库。还包括其他一些服务,例如性能图表服务。

此计算机库还包括在每个 Platform Services Controller 节点中。

vSphere 证书管理器实用程序备份库 (BACKUP_STORE)

由 VMCA(VMware 证书管理器)用来支持证书恢复。仅将最近的状态存储为备份,无法返回多个步骤。

其他库

解决方案可能会添加其他库。例如,虚拟卷解决方案会添加 SMS 库。请勿修改这些库中的证书,除非 VMware 文档或 VMware 知识库文章指示进行此类修改。

注:

但是,在 vSphere 6.0 中不支持 CRLS,删除 TRUSTED_ROOTS_CRLS 库可能会损坏证书基础架构。请勿删除或修改 TRUSTED_ROOTS_CRLS 库。

vCenter Single Sign-On 服务会在磁盘上存储令牌签名证书及其 SSL 证书。可以从 vSphere Web Client 更改令牌签名证书。

注:

请勿更改磁盘上的任何证书文件,除非 VMware 文档或知识库文章要求这样做。否则,可能会导致不可预知的行为。

某些证书在启动期间可以临时或永久存储在文件系统中。请勿更改文件系统上的证书。使用 vecs-cli 可在存储在 VECS 中的证书上执行操作。