VMware Endpoint 证书存储 (VECS) 充当可以存储在密钥库中的证书、专用密钥以及其他证书信息的本地(客户端)存储库。可以选择不使用 VMCA 作为证书颁发机构和证书签名者,但必须使用 VECS 存储所有 vCenter 证书、密钥等。ESXi证书存储在每个本地主机中,而不是 VECS 中。
VECS 作为 VMware Authentication Framework 守护进程 (VMAFD) 的一部分运行。VECS 在每个 vCenter Server节点上运行,并保留包含证书和密钥的密钥库。
VECS 会定期轮询 VMware Directory Service (vmdir),以获取对受信任的根存储的更新。还可以使用vecs-cli命令显式管理 VECS 中的证书和密钥。请参见vecs-cli 命令参考。
VECS 包括以下库。
库 | 描述 |
---|---|
计算机 SSL 库 (MACHINE_SSL_CERT) |
vSphere 6.0 及更高版本中的所有服务通过使用计算机 SSL 证书的反向代理进行通信。为了实现向后兼容性,5.x 服务仍使用特定端口。因此,某些服务(如 vpxd)仍使其自身的端口处于打开状态。 |
解决方案用户库
|
VECS 为每个解决方案用户提供一个库。每个解决方案用户证书的主体必须是唯一的,例如 machine 证书不能具有与 vpxd 证书相同的主体。 解决方案用户证书用于对 vCenter Single Sign-On 进行身份验证。vCenter Single Sign-On 会检查证书是否有效,但不检查其他证书属性。 VECS 中包含以下解决方案用户证书存储:
每个 vCenter Server 节点包含一个 |
受信任的根存储 (TRUSTED_ROOTS) | 包含所有受信任的根证书。 |
vSphere Certificate Manager 实用程序备份库 (BACKUP_STORE) | 由 VMCA (VMware Certificate Manager) 用来支持证书恢复。仅将最近的状态存储为备份,无法返回多个步骤。 |
其他库 | 解决方案可能会添加其他库。例如,Virtual Volumes 解决方案会添加 SMS 库。请勿修改这些库中的证书,除非 VMware 文档或 VMware 知识库文章要求进行此类修改。
注: 删除 TRUSTED_ROOTS_CRLS 存储可能会损坏证书基础架构。请勿删除或修改 TRUSTED_ROOTS_CRLS 存储。
|
vCenter Single Sign-On服务会在磁盘上存储令牌签名证书及其 SSL 证书。可以从 CLI 更改令牌签名证书。
某些证书在启动期间可以临时或永久存储在文件系统中。请勿更改文件系统上的证书。
注: 请勿更改磁盘上的任何证书文件,除非 VMware 文档或知识库文章要求这样做。否则,可能会导致不可预知的行为。