VMware Endpoint 证书存储 (VECS) 充当可以存储在密钥库中的证书、专用密钥以及其他证书信息的本地(客户端)存储库。可以选择不使用 VMCA 作为证书颁发机构和证书签名者,但必须使用 VECS 存储所有 vCenter 证书、密钥等。ESXi证书存储在每个本地主机中,而不是 VECS 中。

VECS 作为 VMware Authentication Framework 守护进程 (VMAFD) 的一部分运行。VECS 在每个 vCenter Server节点上运行,并保留包含证书和密钥的密钥库。

VECS 会定期轮询 VMware Directory Service (vmdir),以获取对受信任的根存储的更新。还可以使用vecs-cli命令显式管理 VECS 中的证书和密钥。请参见vecs-cli 命令参考

VECS 包括以下库。
表 1. VECS 中的库
描述
计算机 SSL 库 (MACHINE_SSL_CERT)
  • 由每个 vSphere 节点上的反向代理服务使用。
  • 由 VMware Directory Service (vmdir) 在每个 vCenter Server 节点上使用。

vSphere 6.0 及更高版本中的所有服务通过使用计算机 SSL 证书的反向代理进行通信。为了实现向后兼容性,5.x 服务仍使用特定端口。因此,某些服务(如 vpxd)仍使其自身的端口处于打开状态。

解决方案用户库
  • machine
  • vpxd
  • vpxd-extension
  • vsphere-webclient
  • wcp
VECS 为每个解决方案用户提供一个库。每个解决方案用户证书的主体必须是唯一的,例如 machine 证书不能具有与 vpxd 证书相同的主体。

解决方案用户证书用于对 vCenter Single Sign-On 进行身份验证。vCenter Single Sign-On 会检查证书是否有效,但不检查其他证书属性。

VECS 中包含以下解决方案用户证书存储:

  • machine:由 License Server 和日志记录服务使用。
    注: Machine 解决方案用户证书与计算机 SSL 证书没有任何关系。计算机解决方案用户证书用于进行 SAML 令牌交换。计算机 SSL 证书用于计算机的安全 SSL 连接。
  • vpxd:vCenter 服务守护进程 (vpxd) 存储。vpxd 使用存储在此存储中的解决方案用户证书对 vCenter Single Sign-On 进行身份验证。
  • vpxd-extension:vCenter 扩展存储。包括 Auto Deploy 服务、Inventory Service 以及不属于其他解决方案用户的其他服务。
  • vsphere-webclientvSphere Client 存储。还包括其他一些服务,例如性能图表服务。
  • wcp:VMware vSphere® 和 VMware Tanzu™ 存储。

每个 vCenter Server 节点包含一个 machine 证书。

受信任的根存储 (TRUSTED_ROOTS) 包含所有受信任的根证书。
vSphere Certificate Manager 实用程序备份库 (BACKUP_STORE) 由 VMCA (VMware Certificate Manager) 用来支持证书恢复。仅将最近的状态存储为备份,无法返回多个步骤。
其他库 解决方案可能会添加其他库。例如,Virtual Volumes 解决方案会添加 SMS 库。请勿修改这些库中的证书,除非 VMware 文档或 VMware 知识库文章要求进行此类修改。
注: 删除 TRUSTED_ROOTS_CRLS 存储可能会损坏证书基础架构。请勿删除或修改 TRUSTED_ROOTS_CRLS 存储。

vCenter Single Sign-On服务会在磁盘上存储令牌签名证书及其 SSL 证书。可以从 CLI 更改令牌签名证书。

某些证书在启动期间可以临时或永久存储在文件系统中。请勿更改文件系统上的证书。

注: 请勿更改磁盘上的任何证书文件,除非 VMware 文档或知识库文章要求这样做。否则,可能会导致不可预知的行为。