VMware Endpoint 证书存储 (VECS) 充当可以存储在密钥库中的证书、专用密钥以及其他证书信息的本地(客户端)存储库。可以选择不使用 VMCA 作为证书颁发机构和证书签名者,但必须使用 VECS 存储所有 vCenter 证书、密钥等。ESXi证书存储在每个本地主机中,而不是 VECS 中。
VECS 作为 VMware Authentication Framework 守护进程 (VMAFD) 的一部分运行。VECS 在每个嵌入式部署、Platform Services Controller节点以及管理节点上运行,并保留包含证书和密钥的密钥库。
VECS 会定期轮询 VMware Directory Service (vmdir),以获取对受信任的根存储的更新。还可以使用vecs-cli命令显式管理 VECS 中的证书和密钥。请参见vecs-cli 命令参考。
| 库 | 描述 |
|---|---|
| 计算机 SSL 库 (MACHINE_SSL_CERT) |
vSphere 6.0 及更高版本中的所有服务通过使用计算机 SSL 证书的反向代理进行通信。为了实现向后兼容性,5.x 服务仍使用特定端口。因此,某些服务(如 vpxd)仍使其自身的端口处于打开状态。 |
| 受信任的根存储 (TRUSTED_ROOTS) | 包含所有受信任的根证书。 |
解决方案用户库
|
VECS 为每个解决方案用户提供一个库。每个解决方案用户证书的主体必须是唯一的,例如 machine 证书不能具有与 vpxd 证书相同的主体。 解决方案用户证书用于对 vCenter Single Sign-On进行身份验证。vCenter Single Sign-On 会检查证书是否有效,但不检查其他证书属性。在嵌入式部署中,所有解决方案用户证书都位于相同的系统中。 以下解决方案用户证书存储包括在每个管理节点和每个嵌入式部署的 VECS 中:
每个 Platform Services Controller节点包含一个 |
| vSphere 证书管理器实用程序备份库 (BACKUP_STORE) | 由 VMCA(VMware 证书管理器)用来支持证书恢复。仅将最近的状态存储为备份,无法返回多个步骤。 |
| 其他库 | 解决方案可能会添加其他库。例如,Virtual Volumes 解决方案会添加 SMS 库。请勿修改这些库中的证书,除非 VMware 文档或 VMware 知识库文章要求进行此类修改。
注: 删除 TRUSTED_ROOTS_CRLS 存储可能会损坏证书基础架构。请勿删除或修改 TRUSTED_ROOTS_CRLS 存储。
|
vCenter Single Sign-On服务会在磁盘上存储令牌签名证书及其 SSL 证书。可以从 vSphere Client更改令牌签名证书。
某些证书在启动期间可以临时或永久存储在文件系统中。请勿更改文件系统上的证书。使用 vecs-cli可在存储在 VECS 中的证书上执行操作。
