VMware Endpoint Certificate Store (VECS) sirve de repositorio local (del lado del cliente) para certificados, claves privadas y cualquier información de certificados que pueda guardarse en un almacén de claves. Puede optar por no usar VMCA como entidad de certificación y firmante de certificados, pero debe usarlo para almacenar todos los certificados, las claves y demás elementos de vCenter. Los certificados de ESXi se almacenan de forma local en cada host y no en VECS.
VECS se ejecuta como parte de VMware Authentication Framework Daemon (VMAFD). VECS se ejecuta en todas las implementaciones integradas, el nodo de Platform Services Controller y el nodo de administración, y conserva todos los almacenes de claves que contienen certificados y claves.
VECS sondea VMware Directory Service (vmdir) de forma periódica en busca de actualizaciones del almacén raíz de confianza. También puede administrar certificados de forma explícita en VECS mediante los comandos vecs-cli. Consulte Referencia de comandos vecs-cli.
| Almacén | Descripción |
|---|---|
| Almacén SSL de máquina (MACHINE_SSL_CERT) |
Todos los servicios de vSphere 6.0 y versiones posteriores se comunican mediante un proxy inverso que utiliza el certificado SSL de equipo. Por razones de compatibilidad con versiones anteriores, los servicios de la versión 5.x todavía utilizan puertos específicos. Como resultado, algunos servicios como vpxd todavía tienen su propio puerto abierto. |
| Almacén raíz de confianza (TRUSTED_ROOTS) | Contiene todos los certificados raíz de confianza. |
Almacenes de usuarios de solución
|
VECS incluye un almacén para cada usuario de solución. El asunto de cada certificado de usuario de solución debe ser único, por ejemplo, el certificado de máquina no puede tener el mismo asunto que el certificado de vpxd. Los certificados de usuarios de solución se utilizan para la autenticación con vCenter Single Sign-On. vCenter Single Sign-On comprueba que el certificado sea válido, pero no comprueba otros atributos del certificado. En una implementación integrada, todos los certificados de usuarios de solución están en el mismo sistema. Los siguientes almacenes de certificados de usuarios de solución se incluyen en VECS en cada nodo de administración y en cada implementación integrada:
Cada nodo de Platform Services Controller incluye un certificado |
| Almacén de copias de seguridad de la utilidad vSphere Certificate Manager (BACKUP_STORE) | VMCA (VMware Certificate Manager) lo utiliza para admitir la reversión de certificados. Solo el estado más reciente se almacena como copia de seguridad; no se puede volver más de un paso. |
| Otros almacenes | Las soluciones pueden agregar otros almacenes. Por ejemplo, la solución Virtual Volumes agrega un almacén SMS. No modifique los certificados de estos almacenes a menos que así se indique en la documentación de VMware o en un artículo de la base de conocimientos de VMware.
Nota: La eliminación del almacén TRUSTED_ROOTS_CRLS puede dañar la infraestructura de certificado. No elimine ni modifique el almacén TRUSTED_ROOTS_CRLS.
|
El servicio de vCenter Single Sign-On almacena el certificado de firma de tokens y su certificado SSL en el disco. Puede cambiar el certificado de firma de tokens desde vSphere Client.
Algunos certificados se almacenan en el sistema de archivos, ya sea de forma temporal durante el inicio o de forma permanente. No cambie los certificados en el sistema de archivos. Use vecs-cli para realizar operaciones en los certificados almacenados en VECS.
