VMware Endpoint Certificate Store (VECS) sirve de repositorio local (del lado del cliente) para certificados, claves privadas y cualquier información de certificados que pueda guardarse en un almacén de claves. Puede optar por no usar VMCA como entidad de certificación y firmante de certificados, pero debe usarlo para almacenar todos los certificados, las claves y demás elementos de vCenter. Los certificados de ESXi se almacenan de forma local en cada host y no en VECS.

VECS se ejecuta como parte de VMware Authentication Framework Daemon (VMAFD). VECS se ejecuta en todas las implementaciones integradas, el nodo de Platform Services Controller y el nodo de administración, y conserva todos los almacenes de claves que contienen certificados y claves.

VECS sondea VMware Directory Service (vmdir) de forma periódica en busca de actualizaciones del almacén raíz de confianza. También puede administrar certificados de forma explícita en VECS mediante los comandos vecs-cli. Consulte Referencia de comandos vecs-cli.

VECS incluye los siguientes almacenes.
Tabla 1. Almacenes en VECS
Almacén Descripción
Almacén SSL de máquina (MACHINE_SSL_CERT)
  • El servicio de proxy inverso lo utiliza en cada nodo de vSphere.
  • VMware Directory Service (vmdir) lo utiliza en implementaciones integradas y en cada nodo de Platform Services Controller.

Todos los servicios de vSphere 6.0 y versiones posteriores se comunican mediante un proxy inverso que utiliza el certificado SSL de equipo. Por razones de compatibilidad con versiones anteriores, los servicios de la versión 5.x todavía utilizan puertos específicos. Como resultado, algunos servicios como vpxd todavía tienen su propio puerto abierto.

Almacén raíz de confianza (TRUSTED_ROOTS) Contiene todos los certificados raíz de confianza.
Almacenes de usuarios de solución
  • machine
  • vpxd
  • vpxd-extension
  • vsphere-webclient
VECS incluye un almacén para cada usuario de solución. El asunto de cada certificado de usuario de solución debe ser único, por ejemplo, el certificado de máquina no puede tener el mismo asunto que el certificado de vpxd.

Los certificados de usuarios de solución se utilizan para la autenticación con vCenter Single Sign-On. vCenter Single Sign-On comprueba que el certificado sea válido, pero no comprueba otros atributos del certificado. En una implementación integrada, todos los certificados de usuarios de solución están en el mismo sistema.

Los siguientes almacenes de certificados de usuarios de solución se incluyen en VECS en cada nodo de administración y en cada implementación integrada:

  • machine: lo utilizan el servidor de licencias y el servicio de registro.
    Nota: El certificado de usuario de solución de la máquina no tiene relación alguna con el certificado SSL de máquina. El certificado de usuario de solución de la máquina se utiliza para el intercambio de tokens SAML, mientras que el certificado SSL de máquina se utiliza para las conexiones SSL seguras de una máquina.
  • vpxd: almacén de daemon del servicio vCenter (vpxd) de los nodos de administración y las implementaciones integradas. vpxd utiliza el certificado de usuario de solución que está en este almacén para autenticarse en vCenter Single Sign-On.
  • vpxd-extension: almacén de extensiones de vCenter. Incluye el servicio de Auto Deploy, el servicio de inventario u otros servicios que no forman parte de otros usuarios de solución.
  • vsphere-webclient: almacén de vSphere Web Client. También incluye algunos servicios adicionales como el servicio de gráficos de rendimiento.

Cada nodo de Platform Services Controller incluye un certificado machine.

Almacén de copias de seguridad de la utilidad vSphere Certificate Manager (BACKUP_STORE) VMCA (VMware Certificate Manager) lo utiliza para admitir la reversión de certificados. Solo el estado más reciente se almacena como copia de seguridad; no se puede volver más de un paso.
Otros almacenes Las soluciones pueden agregar otros almacenes. Por ejemplo, la solución Virtual Volumes agrega un almacén SMS. No modifique los certificados de estos almacenes a menos que así se indique en la documentación de VMware o en un artículo de la base de conocimientos de VMware.
Nota: La eliminación del almacén TRUSTED_ROOTS_CRLS puede dañar la infraestructura de certificado. No elimine ni modifique el almacén TRUSTED_ROOTS_CRLS.

El servicio de vCenter Single Sign-On almacena el certificado de firma de tokens y su certificado SSL en el disco. Puede cambiar el certificado de firma de tokens desde vSphere Client.

Algunos certificados se almacenan en el sistema de archivos, ya sea de forma temporal durante el inicio o de forma permanente. No cambie los certificados en el sistema de archivos. Use vecs-cli para realizar operaciones en los certificados almacenados en VECS.

Nota: No cambie ningún archivo de certificado en el disco a menos que se indique en la documentación de VMware o en los artículos de la base de conocimientos. De lo contrario, se puede producir un comportamiento inesperado.