VMware Endpoint Certificate Store

VMware Endpoint Certificate Store (VECS) sirve de repositorio local (del lado del cliente) para certificados, claves privadas y cualquier información de certificados que pueda guardarse en un almacén de claves. Puede optar por no usar VMCA como entidad de certificación y firmante de certificados, pero debe usarlo para almacenar todos los certificados, las claves y demás elementos de vCenter. Los certificados de ESXi se almacenan de forma local en cada host y no en VECS.

VECS se ejecuta como parte de VMware Authentication Framework Daemon (VMAFD). VECS se ejecuta en cada nodo de vCenter Server y conserva todos los almacenes de claves que contienen certificados y claves.

VECS sondea VMware Directory Service (vmdir) de forma periódica en busca de actualizaciones del almacén raíz de confianza. También puede administrar certificados de forma explícita en VECS mediante los comandos vecs-cli. Consulte Referencia de comandos vecs-cli.

VECS incluye los siguientes almacenes.

Tabla 1. Almacenes en VECS
Almacén	Descripción
Almacén SSL de máquina (MACHINE_SSL_CERT)	El servicio de proxy inverso lo utiliza en cada nodo de vSphere. VMware Directory Service (vmdir) lo utiliza en cada nodo de vCenter Server. Todos los servicios de vSphere 6.0 y versiones posteriores se comunican mediante un proxy inverso que utiliza el certificado SSL de equipo. Por razones de compatibilidad con versiones anteriores, los servicios de la versión 5.x todavía utilizan puertos específicos. Como resultado, algunos servicios como vpxd todavía tienen su propio puerto abierto.
Almacenes de usuarios de solución `machine` `vpxd` `vpxd-extension` `vsphere-webclient` `wcp`	VECS incluye un almacén para cada usuario de solución. El asunto de cada certificado de usuario de solución debe ser único, por ejemplo, el certificado de máquina no puede tener el mismo asunto que el certificado de vpxd. Los certificados de usuarios de solución se utilizan para efectuar la autenticación con vCenter Single Sign-On. vCenter Single Sign-On comprueba que el certificado sea válido, pero no comprueba otros atributos del certificado. En VECS, se incluyen los siguientes almacenes de certificados de usuarios de solución: `machine`: lo utilizan el servidor de licencias y el servicio de registro. Nota: El certificado de usuario de solución de la máquina no tiene relación alguna con el certificado SSL de máquina. El certificado de usuario de solución de la máquina se utiliza para el intercambio de tokens SAML, mientras que el certificado SSL de máquina se utiliza para las conexiones SSL seguras de una máquina. `vpxd`: almacén de daemon del servicio vCenter (vpxd). vpxd utiliza el certificado de usuario de solución que está almacenado en este almacén para autenticarse en vCenter Single Sign-On. `vpxd-extension`: almacén de extensiones de vCenter. Incluye el servicio de Auto Deploy, el servicio de inventario u otros servicios que no forman parte de otros usuarios de solución. `vsphere-webclient`: almacén de vSphere Client. También incluye algunos servicios adicionales como el servicio de gráficos de rendimiento. `wcp`: VMware vSphere^® con almacén de VMware Tanzu™. También se utiliza para vSphere Cluster Services. Cada nodo de vCenter Server incluye un certificado `machine`.
Almacén raíz de confianza (TRUSTED_ROOTS)	Contiene todos los certificados raíz de confianza.
Almacén de copias de seguridad de la utilidad vSphere Certificate Manager (BACKUP_STORE)	VMCA (VMware Certificate Manager) lo utiliza para admitir la reversión de certificados. Solo el estado más reciente se almacena como copia de seguridad; no se puede volver más de un paso.
Otros almacenes	Las soluciones pueden agregar otros almacenes. Por ejemplo, la solución Virtual Volumes agrega un almacén SMS. No modifique los certificados de estos almacenes a menos que así se indique en la documentación de VMware o en un artículo de la base de conocimientos de VMware. Nota: La eliminación del almacén TRUSTED_ROOTS_CRLS puede dañar la infraestructura de certificado. No elimine ni modifique el almacén TRUSTED_ROOTS_CRLS.

El servicio de vCenter Single Sign-On almacena el certificado de firma de tokens y su certificado SSL en el disco. Puede cambiar el certificado de firma de tokens desde la CLI.

Algunos certificados se almacenan en el sistema de archivos, ya sea de forma temporal durante el inicio o de forma permanente. No cambie los certificados en el sistema de archivos.

Nota: No cambie ningún archivo de certificado en el disco a menos que se indique en la documentación de VMware o en los artículos de la base de conocimientos. De lo contrario, se puede producir un comportamiento inesperado.