VMware Endpoint Certificate Store (VECS) sert de référentiel local (côté client) pour les certificats, les clés privées et les autres informations liées aux certificats qui peuvent être stockés dans un magasin de clés. Vous pouvez décider de ne pas utiliser VMCA en tant qu'autorité de certification et de signature de certificat, mais vous devez utiliser VECS pour stocker tous les certificats, clés et autres éléments de vCenter. Les certificats ESXi sont stockés localement sur chaque hôte et non dans VECS.

VECS s'exécute dans le cadre du démon VMware Authentication Framework (VMAFD). VECS fonctionne sur chaque déploiement intégré, nœud de Platform Services Controller et nœud de gestion ; il contient les magasins de clés qui renferment les certificats et les clés.

VECS interroge périodiquement VMware Directory Service (vmdir) en vue d'éventuelles mises à jour du magasin TRUSTED_ROOTS. Vous pouvez également gérer explicitement les certificats et les clés dans VECS à l'aide des commandes vecs-cli. Reportez-vous à Référence des commandes vecs-cli.

VECS inclut les magasins suivants.

Tableau 1. Magasins dans VECS

Magasin

Description

Magasin de certificats SSL de la machine (MACHINE_SSL_CERT)

  • Utilisé par le service de proxy inverse sur chaque nœud vSphere.

  • Utilisé par VMware Directory Service (vmdir) sur les déploiements intégrés et sur chaque nœud Platform Services Controller.

Tous les services de vSphere 6.0 communiquent par l'intermédiaire d'un proxy inversé qui utilise le certificat SSL de machine. Pour la compatibilité descendante, les services 5.x utilisent toujours des ports spécifiques. En conséquence, certains services tels que vpxd ont toujours leur port ouvert.

Magasin de certificats racine approuvés (TRUSTED_ROOTS)

Contient tous les certificats racines approuvés.

Magasins d'utilisateurs de solution

  • machine

  • vpxd

  • vpxd-extensions

  • vsphere-webclient

VECS inclut un magasin pour chaque utilisateur de solution. L'objet de chaque certificat d'utilisateur de solution doit être unique (par exemple, le certificat de la machine ne peut pas avoir le même objet que le certificat vpxd).

Les certificats d'utilisateurs de solutions sont utilisés pour l'authentification avec vCenter Single Sign-On. vCenter Single Sign-On vérifie que le certificat est valide, mais ne vérifie pas d'autres attributs de certificat. Dans un déploiement intégré, tous les certificats d'utilisateur de la solution se trouvent sur le même système.

Les magasins de certificats d'utilisateurs de solutions suivants sont inclus dans VECS sur chaque nœud de gestion et chaque déploiement intégré :

  • machine : utilisé par le gestionnaire de composants, le serveur de licences et le service de journalisation.

    Remarque :

    Le certificat d'utilisateurs de solution de machine n'a rien à voir avec le certificat SSL de machine. Le certificat d'utilisateur de solution de machine est utilisé pour l'échange de jetons SAML. Le certificat SSL de machine est utilisé pour les connexions SSL sécurisées d'une machine.

  • vpxd : magasin de démon du service vCenter (vpxd) sur les nœuds de gestion et les déploiements intégrés. vpxd utilise le certificat d'utilisateur de solution qui est stocké dans ce magasin pour s'authentifier auprès de vCenter Single Sign-On.

  • vpxd-extensions : magasin d'extensions vCenter. Inclut le service Auto Deploy, Inventory Service et d'autres services ne faisant pas partie d'autres utilisateurs de solution.

  • vsphere-webclient : magasin vSphere Web Client. Inclut également certains services supplémentaires tels que le service de graphiques de performance.

Chaque nœud Platform Services Controller comprend un certificat machine.

Magasin de sauvegardes de vSphere Certificate Manager Utility (BACKUP_STORE)

Utilisé par VMCA (VMware Certificate Manager) pour prendre en charge la restauration de certificat. Seul l'état le plus récent est stocké en tant que sauvegarde ; vous ne pouvez pas revenir en arrière de plus d'une étape.

Autres magasins

D'autres magasins peuvent être ajoutés par des solutions. Par exemple, la solution Virtual Volumes ajoute un magasin SMS. Ne modifiez pas les certificats dans ces magasins, sauf si la documentation VMware ou un article de la base de connaissances VMware vous y invite.

Remarque :

La suppression du magasin TRUSTED_ROOTS_CRLS peut endommager votre infrastructure de certificats. Ne supprimez pas et ne modifiez pas le magasin TRUSTED_ROOTS_CRLS.

Le service vCenter Single Sign-On conserve le certificat de signature de jeton et son certificat SSL sur le disque. Vous pouvez modifier le certificat de signature de jeton à partir de vSphere Web Client.

Certains certificats sont stockés dans le système de fichiers, temporairement pendant le démarrage, ou de façon permanente. Ne modifiez pas les certificats figurant dans le système de fichiers. Utilisez la commande vecs-cli pour agir sur les certificats stockés dans VECS.

Remarque :

Ne modifiez aucun fichier de certificat sur le disque sauf sur instruction de la documentation VMware ou des articles de la base de connaissances. Toute modification pourrait donner lieu à un comportement imprévisible.