VMware Endpoint Certificate Store (VECS) dient als lokales (clientseitiges) Repository für Zertifikate, private Schlüssel und sonstige Zertifikatinformationen, die in einem Keystore gespeichert werden können. Sie müssen VMCA nicht als Zertifizierungsstelle und Zertifikatssignaturgeber verwenden, aber Sie müssen VECS zum Speichern aller vCenter-Zertifikate, Schlüssel usw. verwenden. ESXi-Zertifikate werden lokal auf jedem Host und nicht in VECS gespeichert.

VECS wird als Komponente des VMware Authentication Framework Daemon (VMAFD) ausgeführt. VECS wird auf jedem vCenter Server-Knoten ausgeführt und enthält die Keystores mit den Zertifikaten und Schlüsseln.

VECS überprüft den VMware Directory Service (vmdir) in bestimmten Abständen auf Aktualisierungen für den vertrauenswürdigen Stammzertifikatspeicher. Zertifikate und Schlüssel können Sie in VECS auch explizit mithilfe der vecs-cli-Befehle verwalten. Weitere Informationen hierzu finden Sie unter Befehlsreferenz für vecs-cli.

VECS enthält die folgenden Speicher.
Tabelle 1. Speicher in VECS
Speicher Beschreibung
Maschinen-SSL-Speicher (MACHINE_SSL_CERT)
  • Wird vom Reverse-Proxy-Dienst auf jedem vSphere-Knoten verwendet.
  • Wird vom VMware Directory Service (vmdir) für jeden vCenter Server-Knoten verwendet.

Alle Dienste in vSphere 6.0 und höher kommunizieren über einen Reverse-Proxy, der das Maschinen-SSL-Zertifikat verwendet. Aus Gründen der Abwärtskompatibilität verwenden die 5.x-Dienste weiterhin bestimmte Ports. Deshalb ist für bestimmte Dienste wie etwa vpxd ein eigener Port geöffnet.

Lösungsbenutzerspeicher
  • machine
  • vpxd
  • vpxd-extension
  • vsphere-webclient
  • wcp
VECS enthält einen Speicher für jeden Lösungsbenutzer. Das Objekt jedes Lösungsbenutzerzertifikats muss eindeutig sein. So darf z. B. das Maschinenzertifikat nicht das gleiche Objekt wie das vpxd-Zertifikat haben.

Lösungsbenutzerzertifikate werden für die Authentifizierung bei vCenter Single Sign On verwendet. vCenter Single Sign On überprüft, ob das Zertifikat gültig ist, prüft aber keine anderen Zertifikatsattribute.

Die folgenden Speicher für Lösungsbenutzerzertifikate sind in VECS enthalten:

  • machine: Wird vom Lizenzserver und vom Protokollierungsdienst verwendet.
    Hinweis: Das Lösungsbenutzerzertifikat „machine“ hat nichts mit dem SSL-Zertifikat „machine“ zu tun. Das Lösungsbenutzerzertifikat „machine“ wird für den Austausch von SAML-Tokens verwendet. Das SSL-Zertifikat „machine“ wird für sichere SSL-Verbindungen für eine Maschine verwendet.
  • vpxd: vCenter-Dienst-Daemon-Speicher (vpxd). vpxd verwendet das in diesem Speicher abgelegte Lösungsbenutzerzertifikat, um sich bei vCenter Single Sign On zu authentifizieren.
  • vpxd-extension: vCenter-Erweiterungsspeicher. Enthält den Auto Deploy-Dienst, den Inventory Service und sonstige Dienste, die nicht Bestandteil anderer Lösungsbenutzer sind.
  • vsphere-webclient: vSphere Client-Speicher. Enthält auch zusätzliche Dienste wie etwa den Leistungsdiagrammdienst.
  • wcp: VMware vSphere® mit VMware Tanzu™-Speicher. Wird auch für vSphere-Clusterdienste verwendet.

Jeder vCenter Server-Knoten enthält ein machine-Zertifikat.

Vertrauenswürdiger Stammspeicher (TRUSTED_ROOTS) Enthält alle vertrauenswürdigen Stammzertifikate.
vSphere Certificate Manager Utility-Backup-Speicher (BACKUP_STORE) Wird von VMCA (VMware Certificate Manager) für die Unterstützung der Zertifikatwiederherstellung verwendet. Nur der letzte Status wird als Backup gespeichert und Sie können nur den letzten Schritt rückgängig machen.
Weitere Speicher Weitere Speicher können durch Lösungen hinzugefügt werden. Beispielsweise fügt die Virtual Volumes-Lösung einen SMS-Speicher hinzu. Ändern Sie die Zertifikate in diesen Speichern nur, wenn Sie in der VMware-Dokumentation oder in einem VMware-Knowledgebase-Artikel dazu aufgefordert werden.
Hinweis: Durch das Löschen des Speichers TRUSTED_ROOTS_CRLS kann die Zertifikatinfrastruktur beschädigt werden. Den TRUSTED_ROOTS_CRLS-Speicher sollten Sie weder löschen noch ändern.

Der vCenter Single Sign On-Dienst speichert das Token-Signaturzertifikat und das SSL-Zertifikat auf Festplatte. Das Token-Signaturzertifikat können Sie über die CLI ändern.

Bestimmte Zertifikate werden entweder temporär während des Starts oder dauerhaft im Dateisystem gespeichert. Die Zertifikate im Dateisystem sollten Sie nicht ändern.

Hinweis: Ändern Sie Zertifikatdateien auf Festplatte nur, wenn Sie in VMware-Dokumentation oder Knowledgebase-Artikeln dazu aufgefordert werden. Andernfalls könnte dies zu unvorhersehbarem Verhalten führen.