VMware Endpoint Certificate Store (VECS) dient als lokales (clientseitiges) Repository für Zertifikate, private Schlüssel und sonstige Zertifikatinformationen, die in einem Keystore gespeichert werden können. Sie müssen VMCA nicht als Zertifizierungsstelle und Zertifikatssignaturgeber verwenden, aber Sie müssen VECS zum Speichern aller vCenter-Zertifikate, Schlüssel usw. verwenden. ESXi-Zertifikate werden lokal auf jedem Host und nicht in VECS gespeichert.
VECS wird als Komponente des VMware Authentication Framework Daemon (VMAFD) ausgeführt. VECS wird für jede eingebettete Bereitstellung, jeden Platform Services Controller-Knoten und jeden Verwaltungsknoten ausgeführt und enthält die Keystores mit den Zertifikaten und Schlüsseln.
VECS überprüft den VMware Directory Service (vmdir) in bestimmten Abständen auf Aktualisierungen für den vertrauenswürdigen Stammzertifikatspeicher. Zertifikate und Schlüssel können Sie in VECS auch explizit mithilfe der vecs-cli-Befehle verwalten. Weitere Informationen hierzu finden Sie unter Befehlsreferenz für vecs-cli.
| Speicher | Beschreibung |
|---|---|
| Maschinen-SSL-Speicher (MACHINE_SSL_CERT) |
Alle Dienste in vSphere 6.0 und höher kommunizieren über einen Reverse-Proxy, der das Maschinen-SSL-Zertifikat verwendet. Aus Gründen der Abwärtskompatibilität verwenden die 5.x-Dienste weiterhin bestimmte Ports. Deshalb ist für bestimmte Dienste wie etwa vpxd ein eigener Port geöffnet. |
| Vertrauenswürdiger Stammspeicher (TRUSTED_ROOTS) | Enthält alle vertrauenswürdigen Stammzertifikate. |
Lösungsbenutzerspeicher
|
VECS enthält einen Speicher für jeden Lösungsbenutzer. Das Objekt jedes Lösungsbenutzerzertifikats muss eindeutig sein. So darf z. B. das Maschinenzertifikat nicht das gleiche Objekt wie das vpxd-Zertifikat haben. Lösungsbenutzerzertifikate werden für die Authentifizierung mit vCenter Single Sign On verwendet. vCenter Single Sign On überprüft, ob das Zertifikat gültig ist. Andere Zertifikatattribute werden jedoch nicht überprüft. Bei einer eingebetteten Bereitstellung befinden sich alle Lösungsbenutzerzertifikate im selben System. Die folgenden Lösungsbenutzer-Zertifikatspeicher sind in VECS für jeden Verwaltungsknoten und für jede eingebettete Bereitstellung enthalten:
Jeder Platform Services Controller-Knoten enthält ein |
| vSphere Certificate Manager Utility-Backup-Speicher (BACKUP_STORE) | Wird von VMCA (VMware Certificate Manager) für die Unterstützung der Zertifikatwiederherstellung verwendet. Nur der letzte Status wird als Backup gespeichert und Sie können nur den letzten Schritt rückgängig machen. |
| Weitere Speicher | Weitere Speicher können durch Lösungen hinzugefügt werden. Beispielsweise fügt die Virtual Volumes-Lösung einen SMS-Speicher hinzu. Ändern Sie die Zertifikate in diesen Speichern nur, wenn Sie in der VMware-Dokumentation oder in einem VMware-Knowledgebase-Artikel dazu aufgefordert werden.
Hinweis: Durch das Löschen des Speichers TRUSTED_ROOTS_CRLS kann die Zertifikatinfrastruktur beschädigt werden. Den TRUSTED_ROOTS_CRLS-Speicher sollten Sie weder löschen noch ändern.
|
Der vCenter Single Sign On-Dienst speichert das Token-Signaturzertifikat und das SSL-Zertifikat auf Festplatte. Das Token-Signaturzertifikat können Sie über den vSphere Client ändern.
Bestimmte Zertifikate werden entweder temporär während des Starts oder dauerhaft im Dateisystem gespeichert. Die Zertifikate im Dateisystem sollten Sie nicht ändern. Verwenden Sie vecs-cli, um Vorgänge für in VECS gespeicherte Zertifikate auszuführen.
