VMware Endpoint Certificate Store

VMware Endpoint Certificate Store (VECS) funge da repository locale (lato client) per certificati, chiavi private e altre informazioni sui certificati che possono essere archiviate in un archivio chiavi. È possibile decidere di non utilizzare VMCA come autorità di certificazione e firmatario del certificato, ma è necessario utilizzare VECS per archiviare tutti i certificati vCenter, le chiavi e così via. I certificati ESXi vengono archiviati localmente in ciascun host e non in VECS.

VECS viene eseguito come parte del daemon di VMware Authentication Framework (VMAFD). VECS viene eseguito in ogni nodo di vCenter Server e contiene gli archivi chiavi contenenti certificati e chiavi.

VECS esegue periodicamente il polling di VMware Directory Service (vmdir) per gli aggiornamenti all'archivio root attendibile. È inoltre possibile gestire esplicitamente i certificati e le chiavi in VECS utilizzando i comandi vecs-cli. Vedere Guida di riferimento al comando vecs-cli.

VECS include i seguenti archivi.

Tabella 1. Archivi in VECS
Archivio	Descrizione
Archivio SSL della macchina (MACHINE_SSL_CERT)	Utilizzato dal servizio proxy inverso in ogni nodo di vSphere. Utilizzato da VMware Directory Service (vmdir) in ogni nodo di vCenter Server. Tutti i servizi in vSphere 6.0 e versioni successive comunicano tramite un proxy inverso, che utilizza il certificato SSL della macchina. Per la compatibilità con le versioni precedenti, i servizi della versione 5.x utilizzano ancora porte specifiche. Di conseguenza, alcuni servizi come vpxd hanno ancora la propria porta aperta.
Archivi dell'utente della soluzione `machine` `vpxd` `vpxd-extension` `vsphere-webclient` `wcp`	VECS include un archivio per ogni utente della soluzione. L'oggetto di ciascun certificato utente della soluzione deve essere univoco. Ad esempio, il certificato macchina non può avere lo stesso oggetto del certificato vpxd. I certificati utente della soluzione vengono utilizzati per l'autenticazione in vCenter Single Sign-On. vCenter Single Sign-On controlla la validità del certificato, ma non controlla altri attributi del certificato. VECS include i seguenti archivi di certificati utente della soluzione: `machine`: utilizzato dal server di licenza e dal servizio di registrazione. Nota: Il certificato utente della soluzione della macchina non ha nulla in comune con il certificato SSL della macchina. Il certificato utente della soluzione della macchina viene utilizzato per lo scambio di token SAML. Il certificato SSL della macchina viene utilizzato per stabilire connessioni SSL sicure con una macchina. `vpxd`: archivio del daemon di vCenter Service (vpxd). vpxd utilizza il certificato utente della soluzione conservato in questo archivio per eseguire l'autenticazione in vCenter Single Sign-On. `vpxd-extension`: archivio estensioni di vCenter. Include il servizio Auto Deploy, il servizio di inventario e altri servizi che non fanno parte degli altri utenti della soluzione. `vsphere-webclient`: archivio di vSphere Client. Include anche alcuni servizi aggiuntivi, come il servizio grafico delle prestazioni. `wcp`: archivio VMware vSphere^® con VMware Tanzu™. Utilizzato anche per vSphere Cluster Services. Ogni nodo di vCenter Server include un certificato `machine`.
Archivio root attendibile (TRUSTED_ROOTS)	Contiene tutti i certificati root attendibili.
Archivio di backup dell'utilità Gestione certificati di vSphere (BACKUP_STORE)	Utilizzato da VMCA (VMware Certificate Manager) per supportare il ripristino del certificato. Solo lo stato più recente viene archiviato come backup: non è possibile tornare indietro di oltre un passaggio.
Altri archivi	È possibile che le soluzioni aggiungano ulteriori archivi. Ad esempio, la soluzione Volumi virtuali aggiunge un archivio di SMS. Non modificare i certificati in tali archivi a meno che ciò non venga indicato nella documentazione di VMware o in un articolo della Knowledge Base di VMware. Nota: L'eliminazione dell'archivio TRUSTED_ROOTS_CRLS può danneggiare l'infrastruttura dei certificati. Non eliminare o modificare l'archivio TRUSTED_ROOTS_CRLS.

Il servizio vCenter Single Sign-On archivia sul disco il certificato di firma del token e il relativo certificato SSL. È possibile modificare il certificato di firma del token dalla CLI.

Alcuni certificati vengono archiviati nel file system, temporaneamente durante l'avvio o in modo permanente. Non modificare i certificati nel file system.

Nota: Non modificare alcun file di certificato sul disco a meno che non venga indicato dalla documentazione di VMware o dagli articoli della Knowledge Base. In caso contrario, potrebbero verificarsi comportamenti imprevedibili.