VMware Endpoint Certificate Store (VECS) sert de référentiel local (côté client) pour les certificats, les clés privées et les autres informations liées aux certificats qui peuvent être stockés dans un magasin de clés. Vous pouvez décider de ne pas utiliser VMCA en tant qu'autorité de certification et de signature de certificat, mais vous devez utiliser VECS pour stocker tous les certificats, clés et autres éléments de vCenter. Les certificats ESXi sont stockés localement sur chaque hôte et non dans VECS.
VECS s'exécute dans le cadre du démon VMware Authentication Framework (VMAFD). VECS s'exécute sur chaque nœud de vCenter Server et contient les magasins de clés qui renferment les certificats et les clés.
VECS interroge périodiquement VMware Directory Service (vmdir) en vue d'éventuelles mises à jour du magasin racine approuvé. Vous pouvez également gérer explicitement les certificats et les clés dans VECS à l'aide des commandes vecs-cli. Reportez-vous à la section Référence des commandes vecs-cli.
| Magasin | Description |
|---|---|
| Magasin de certificats SSL de la machine (MACHINE_SSL_CERT) |
Tous les services de vSphere 6.0 ou versions ultérieures communiquent par l'intermédiaire d'un proxy inversé qui utilise le certificat SSL de machine. Pour la compatibilité descendante, les services 5.x utilisent toujours des ports spécifiques. En conséquence, certains services tels que vpxd ont toujours leur port ouvert. |
Magasins d'utilisateurs de solution
|
VECS inclut un magasin pour chaque utilisateur de solution. L'objet de chaque certificat d'utilisateur de solution doit être unique (par exemple, le certificat de la machine ne peut pas avoir le même objet que le certificat vpxd). Les certificats d'utilisateurs de solutions sont utilisés pour l'authentification avec vCenter Single Sign-On. vCenter Single Sign-On vérifie que le certificat est valide, mais ne vérifie pas d'autres attributs de certificat. Les magasins de certificats d'utilisateur de solution suivants sont inclus dans VECS :
Chaque nœud vCenter Server comprend un certificat |
| Magasin de certificats racine approuvés (TRUSTED_ROOTS) | Contient tous les certificats racines approuvés. |
| Magasin de sauvegardes de vSphere Certificate Manager Utility (BACKUP_STORE) | Utilisé par VMCA (VMware Certificate Manager) pour prendre en charge la restauration de certificat. Seul l'état le plus récent est stocké en tant que sauvegarde ; vous ne pouvez pas revenir en arrière de plus d'une étape. |
| Autres magasins | D'autres magasins peuvent être ajoutés par des solutions. Par exemple, la solution Virtual Volumes ajoute un magasin SMS. Ne modifiez pas les certificats dans ces magasins, sauf si la documentation VMware ou un article de la base de connaissances VMware vous y invite.
Note : La suppression du magasin TRUSTED_ROOTS_CRLS peut endommager votre infrastructure de certificats. Ne supprimez pas et ne modifiez pas le magasin TRUSTED_ROOTS_CRLS.
|
Le service vCenter Single Sign-On conserve le certificat de signature de jeton et son certificat SSL sur le disque. Vous pouvez modifier le certificat de signature de jeton depuis l'interface de ligne de commande.
Certains certificats sont stockés dans le système de fichiers, temporairement pendant le démarrage, ou de façon permanente. Ne modifiez pas les certificats figurant dans le système de fichiers.
