VMware Endpoint Certificate Store (VECS) dient als lokales (clientseitiges) Repository für Zertifikate, private Schlüssel und sonstige Zertifikatinformationen, die in einem Keystore gespeichert werden können. Sie müssen VMCA nicht als Zertifizierungsstelle und Zertifikatssignaturgeber verwenden, aber Sie müssen VECS zum Speichern aller vCenter-Zertifikate, Schlüssel usw. verwenden. ESXi-Zertifikate werden lokal auf jedem Host und nicht in VECS gespeichert.

VECS wird als Komponente des VMware-Authentifizierungsframework-Daemons (VMAFD) ausgeführt. VECS wird für jede eingebettete Bereitstellung, jeden Platform Services Controller-Knoten und jeden Verwaltungsknoten ausgeführt und enthält die Keystores mit den Zertifikaten und Schlüsseln.

VECS überprüft den VMware-Verzeichnisdienst (vmdir) in bestimmten Abständen auf Aktualisierungen für den TRUSTED_ROOTS-Speicher. Zertifikate und Schlüssel können Sie in VECS auch explizit mithilfe der vecs-cli-Befehle verwalten. Siehe Befehlsreferenz für vecs-cli.

VECS enthält die folgenden Speicher.

Tabelle 1. Speicher in VECS

Speicher

Beschreibung

Maschinen-SSL-Speicher (MACHINE_SSL_CERT)

  • Wird vom Reverse-Proxy-Dienst auf jedem vSphere-Knoten verwendet.

  • Wird vom VMware-Verzeichnisdienst (vmdir) für eingebettete Bereitstellungen und für jeden Platform Services Controller-Knoten verwendet.

Alle Dienste in vSphere 6.0 kommunizieren über einen Reverse-Proxy, der das Maschinen-SSL-Zertifikat verwendet. Aus Gründen der Abwärtskompatibilität verwenden die 5.x-Dienste weiterhin bestimmte Ports. Deshalb ist für bestimmte Dienste wie etwa vpxd ein eigener Port geöffnet.

Vertrauenswürdiger Stammspeicher (TRUSTED_ROOTS)

Enthält alle vertrauenswürdigen Stammzertifikate.

Lösungsbenutzerspeicher

  • Maschine

  • vpxd

  • vpxd-extensions

  • vsphere-webclient

VECS enthält einen Speicher für jeden Lösungsbenutzer. Das Objekt jedes Lösungsbenutzerzertifikats muss eindeutig sein. So darf z. B. das Maschinenzertifikat nicht das gleiche Objekt wie das vpxd-Zertifikat haben.

Lösungsbenutzerzertifikate werden für die Authentifizierung mit vCenter Single Sign On verwendet. vCenter Single Sign On überprüft, ob das Zertifikat gültig ist. Andere Zertifikatsattribute werden jedoch nicht überprüft. Bei einer eingebetteten Bereitstellung befinden sich alle Lösungsbenutzerzertifikate im selben System.

Die folgenden Lösungsbenutzer-Zertifikatspeicher sind in VECS für jeden Verwaltungsknoten und für jede eingebettete Bereitstellung enthalten:

  • machine: Wird vom Komponentenmanager, Lizenzserver und Protokollierungsdienst verwendet.

    Anmerkung:

    Das Lösungsbenutzerzertifikat „machine“ hat nichts mit dem SSL-Zertifikat „machine“ zu tun. Das Lösungsbenutzerzertifikat „machine“ wird für den Austausch von SAML-Tokens verwendet; das SSL-Zertifikat „machine“ wird für sichere SSL-Verbindungen für eine Maschine verwendet.

  • vpxd: vCenter-Dienst-Daemon (vpxd)-Speicher für Verwaltungsknoten und eingebettete Bereitstellungen. vpxd verwendet das in diesem Speicher gespeicherte Lösungsbenutzerzertifikat für die Authentifizierung bei vCenter Single Sign On.

  • vpxd-extensions: vCenter-Erweiterungsspeicher. Enthält den Auto Deploy-Dienst, den Inventory Service und sonstige Dienste, die nicht Bestandteil anderer Lösungsbenutzer sind.

  • vsphere-webclient: vSphere Web Client-Speicher. Enthält auch zusätzliche Dienste wie etwa den Leistungsdiagrammdienst.

Der Maschinenspeicher ist ebenfalls in jedem Platform Services Controller-Knoten enthalten.

vSphere Certificate Manager Utility-Backup-Speicher (BACKUP_STORE)

Wird von VMCA (VMware Certificate Manager) für die Unterstützung der Zertifikatwiederherstellung verwendet. Nur der letzte Status wird als Backup gespeichert und Sie können nur den letzten Schritt rückgängig machen.

Weitere Speicher

Weitere Speicher können durch Lösungen hinzugefügt werden. Beispielsweise fügt die VVOL-Lösung einen SMS-Speicher hinzu. Ändern Sie die Zertifikate in diesen Speichern nur, wenn Sie in VMware-Dokumentation oder in einem VMware-Knowledgebase-Artikel dazu aufgefordert werden.

Anmerkung:

CRLS werden in vSphere 6.0 nicht unterstützt. Dennoch kann durch das Löschen des TRUSTED_ROOTS_CRLS-Speichers Ihre Zertifikatinfrastruktur beschädigt werden. Den TRUSTED_ROOTS_CRLS-Speicher sollten Sie weder löschen noch ändern.

Der vCenter Single Sign On-Dienst speichert das Token-Signaturzertifikat und das SSL-Zertifikat auf Festplatte. Das Token-Signaturzertifikat können Sie über den vSphere Web Client ändern.

Anmerkung:

Ändern Sie Zertifikatdateien auf Festplatte nur, wenn Sie in VMware-Dokumentation oder Knowledgebase-Artikeln dazu aufgefordert werden. Andernfalls könnte dies zu unvorhersehbarem Verhalten führen.

Manche Zertifikate werden entweder temporär während des Starts oder aber permanent im Dateisystem gespeichert. Die Zertifikate im Dateisystem sollten Sie nicht ändern. Verwenden Sie vecs-cli, um Vorgänge für in VECS gespeicherte Zertifikate auszuführen.