VMware Endpoint 证书存储 (VECS) 充当可以存储在密钥库中的证书、专用密钥以及其他证书信息的本地(客户端)存储库。可以选择不使用 VMCA 作为证书颁发机构和证书签名者,但必须使用 VECS 存储所有 vCenter 证书、密钥等。ESXi 证书存储在每个本地主机中,而不是 VECS 中。

VECS 作为 VMware Authentication Framework 守护进程 (VMAFD) 的一部分运行。VECS 在每个嵌入式部署、Platform Services Controller 节点以及管理节点上运行,并保留包含证书和密钥的密钥库。

VECS 会定期轮询 VMware Directory Service (vmdir),以获取对受信任的根存储的更新。还可以使用 vecs-cli 命令显式管理 VECS 中的证书和密钥。请参见vecs-cli 命令参考

VECS 包括以下库。
表 1. VECS 中的库
描述
计算机 SSL 库 (MACHINE_SSL_CERT)
  • 由每个 vSphere 节点上的反向代理服务使用。
  • 由 VMware Directory Service (vmdir) 在嵌入式部署和每个 Platform Services Controller 节点上使用。

vSphere 6.0 及更高版本中的所有服务通过使用计算机 SSL 证书的反向代理进行通信。为了实现向后兼容性,5.x 服务仍使用特定端口。因此,某些服务(如 vpxd)仍使其自身的端口处于打开状态。

受信任的根存储 (TRUSTED_ROOTS) 包含所有受信任的根证书。
解决方案用户库
  • machine
  • vpxd
  • vpxd-extension
  • vsphere-webclient
VECS 为每个解决方案用户提供一个库。每个解决方案用户证书的主体必须是唯一的,例如 machine 证书不能具有与 vpxd 证书相同的主体。

解决方案用户证书用于对 vCenter Single Sign-On 进行身份验证。vCenter Single Sign-On 会检查证书是否有效,但不检查其他证书属性。在嵌入式部署中,所有解决方案用户证书都位于相同的系统中。

以下解决方案用户证书存储包括在每个管理节点和每个嵌入式部署的 VECS 中:

  • machine:由 License Server 和日志记录服务使用。
    注: Machine 解决方案用户证书与计算机 SSL 证书没有任何关系。计算机解决方案用户证书用于进行 SAML 令牌交换。计算机 SSL 证书用于计算机的安全 SSL 连接。
  • vpxd:vCenter 服务守护程序 (vpxd) 存储位于管理节点和嵌入式部署上。vpxd 使用此存储中存储的解决方案用户证书对 vCenter Single Sign-On 进行身份验证。
  • vpxd-extension:vCenter 扩展存储。包括 Auto Deploy 服务、Inventory Service 以及不属于其他解决方案用户的其他服务。
  • vsphere-webclientvSphere Web Client 存储。还包括其他一些服务,例如性能图表服务。

每个 Platform Services Controller 节点包含一个 machine 证书。

vSphere Certificate Manager 实用程序备份库 (BACKUP_STORE) 由 VMCA (VMware Certificate Manager) 用来支持证书恢复。仅将最近的状态存储为备份,无法返回多个步骤。
其他库 解决方案可能会添加其他库。例如,Virtual Volumes 解决方案会添加 SMS 库。请勿修改这些库中的证书,除非 VMware 文档或 VMware 知识库文章要求进行此类修改。
注: 删除 TRUSTED_ROOTS_CRLS 存储可能会损坏证书基础架构。请勿删除或修改 TRUSTED_ROOTS_CRLS 存储。

vCenter Single Sign-On 服务会在磁盘上存储令牌签名证书及其 SSL 证书。可以从 vSphere Client 更改令牌签名证书。

某些证书在启动期间可以临时或永久存储在文件系统中。请勿更改文件系统上的证书。使用 vecs-cli 可在存储在 VECS 中的证书上执行操作。

注: 请勿更改磁盘上的任何证书文件,除非 VMware 文档或知识库文章要求这样做。否则,可能会导致不可预知的行为。