VMware Endpoint Certificate Store (VECS) funge da repository locale (lato client) per certificati, chiavi private e altre informazioni sui certificati che possono essere archiviate in un archivio chiavi. È possibile decidere di non utilizzare VMCA come autorità di certificazione e firmatario del certificato, ma è necessario utilizzare VECS per archiviare tutti i certificati vCenter, le chiavi e così via. I certificati ESXi vengono archiviati localmente in ciascun host e non in VECS.
VECS viene eseguito come parte del daemon di VMware Authentication Framework (VMAFD). VECS viene eseguito in ogni nodo di vCenter Server e contiene gli archivi chiavi contenenti certificati e chiavi.
VECS esegue periodicamente il polling di VMware Directory Service (vmdir) per gli aggiornamenti all'archivio root attendibile. È inoltre possibile gestire esplicitamente i certificati e le chiavi in VECS utilizzando i comandi vecs-cli. Vedere Guida di riferimento al comando vecs-cli.
| Archivio | Descrizione |
|---|---|
| Archivio SSL della macchina (MACHINE_SSL_CERT) |
Tutti i servizi in vSphere 6.0 e versioni successive comunicano tramite un proxy inverso, che utilizza il certificato SSL della macchina. Per la compatibilità con le versioni precedenti, i servizi della versione 5.x utilizzano ancora porte specifiche. Di conseguenza, alcuni servizi come vpxd hanno ancora la propria porta aperta. |
Archivi dell'utente della soluzione
|
VECS include un archivio per ogni utente della soluzione. L'oggetto di ciascun certificato utente della soluzione deve essere univoco. Ad esempio, il certificato macchina non può avere lo stesso oggetto del certificato vpxd. I certificati utente della soluzione vengono utilizzati per l'autenticazione in vCenter Single Sign-On. vCenter Single Sign-On controlla la validità del certificato, ma non controlla altri attributi del certificato. VECS include i seguenti archivi di certificati utente della soluzione:
Ogni nodo di vCenter Server include un certificato |
| Archivio root attendibile (TRUSTED_ROOTS) | Contiene tutti i certificati root attendibili. |
| Archivio di backup dell'utilità Gestione certificati di vSphere (BACKUP_STORE) | Utilizzato da VMCA (VMware Certificate Manager) per supportare il ripristino del certificato. Solo lo stato più recente viene archiviato come backup: non è possibile tornare indietro di oltre un passaggio. |
| Altri archivi | È possibile che le soluzioni aggiungano ulteriori archivi. Ad esempio, la soluzione Volumi virtuali aggiunge un archivio di SMS. Non modificare i certificati in tali archivi a meno che ciò non venga indicato nella documentazione di VMware o in un articolo della Knowledge Base di VMware.
Nota: L'eliminazione dell'archivio TRUSTED_ROOTS_CRLS può danneggiare l'infrastruttura dei certificati. Non eliminare o modificare l'archivio TRUSTED_ROOTS_CRLS.
|
Il servizio vCenter Single Sign-On archivia sul disco il certificato di firma del token e il relativo certificato SSL. È possibile modificare il certificato di firma del token dalla CLI.
Alcuni certificati vengono archiviati nel file system, temporaneamente durante l'avvio o in modo permanente. Non modificare i certificati nel file system.
