VMware Endpoint Certificate Store (VECS) sert de référentiel local (côté client) pour les certificats, les clés privées et les autres informations liées aux certificats qui peuvent être stockés dans un magasin de clés. Vous pouvez décider de ne pas utiliser VMCA en tant qu'autorité de certification et de signature de certificat, mais vous devez utiliser VECS pour stocker tous les certificats, clés et autres éléments de vCenter. Les certificats ESXi sont stockés localement sur chaque hôte et non dans VECS.
VECS s'exécute dans le cadre du démon VMware Authentication Framework (VMAFD). VECS fonctionne sur chaque déploiement intégré, nœud de Platform Services Controller et nœud de gestion. Il contient les magasins de clés qui renferment les certificats et les clés.
VECS interroge périodiquement VMware Directory Service (vmdir) en vue d'éventuelles mises à jour du magasin racine approuvé. Vous pouvez également gérer explicitement les certificats et les clés dans VECS à l'aide des commandes vecs-cli. Reportez-vous à la section Référence des commandes vecs-cli.
| Magasin | Description |
|---|---|
| Magasin de certificats SSL de la machine (MACHINE_SSL_CERT) |
Tous les services de vSphere 6.0 ou versions ultérieures communiquent par l'intermédiaire d'un proxy inversé qui utilise le certificat SSL de machine. Pour la compatibilité descendante, les services 5.x utilisent toujours des ports spécifiques. En conséquence, certains services tels que vpxd ont toujours leur port ouvert. |
| Magasin de certificats racine approuvés (TRUSTED_ROOTS) | Contient tous les certificats racines approuvés. |
Magasins d'utilisateurs de solution
|
VECS inclut un magasin pour chaque utilisateur de solution. L'objet de chaque certificat d'utilisateur de solution doit être unique (par exemple, le certificat de la machine ne peut pas avoir le même objet que le certificat vpxd). Les certificats d'utilisateurs de solutions sont utilisés pour l'authentification avec vCenter Single Sign-On. vCenter Single Sign-On vérifie que le certificat est valide, mais ne vérifie pas d'autres attributs de certificat. Dans un déploiement intégré, tous les certificats d'utilisateur de la solution se trouvent sur le même système. Les magasins de certificats d'utilisateurs de solutions suivants sont inclus dans VECS sur chaque nœud de gestion et chaque déploiement intégré :
Chaque nœud Platform Services Controller comprend un certificat |
| Magasin de sauvegardes de vSphere Certificate Manager Utility (BACKUP_STORE) | Utilisé par VMCA (VMware Certificate Manager) pour prendre en charge la restauration de certificat. Seul l'état le plus récent est stocké en tant que sauvegarde ; vous ne pouvez pas revenir en arrière de plus d'une étape. |
| Autres magasins | D'autres magasins peuvent être ajoutés par des solutions. Par exemple, la solution Virtual Volumes ajoute un magasin SMS. Ne modifiez pas les certificats dans ces magasins, sauf si la documentation VMware ou un article de la base de connaissances VMware vous y invite.
Note : La suppression du magasin TRUSTED_ROOTS_CRLS peut endommager votre infrastructure de certificats. Ne supprimez pas et ne modifiez pas le magasin TRUSTED_ROOTS_CRLS.
|
Le service vCenter Single Sign-On conserve le certificat de signature de jeton et son certificat SSL sur le disque. Vous pouvez modifier le certificat de signature de jeton à partir de vSphere Client.
Certains certificats sont stockés dans le système de fichiers, temporairement pendant le démarrage, ou de façon permanente. Ne modifiez pas les certificats figurant dans le système de fichiers. Utilisez la commande vecs-cli pour agir sur les certificats stockés dans VECS.
