VMware Endpoint 証明書ストア (VECS) は、キーストアに保存できる証明書とプライベート キーなどの証明書情報のローカル(クライアント側)リポジトリとして機能します。VMCA を認証局および証明書署名者として使用しないようにすることもできますが、vCenter のすべての証明書、キーなどの保存には VECS を使用する必要があります。ESXi 証明書は、VECS 内ではなく各ホスト上にローカルに保存されます。

VECS は、VMware 認証フレームワーク デーモン (VMAFD) の一部として実行されます。VECS は、組み込みデプロイ、Platform Services Controller ノード、および管理ノードのそれぞれで実行されます。VECS には、証明書とキーが含まれるキーストアが保持されます。

VECS は、更新のため定期的に VMware ディレクトリ サービス (vmdir) を TRUSTED_ROOTS ストアにポーリングします。VECS 内の証明書とキーは、vecs-cli コマンドを使用して明示的に管理することもできます。vecs-cli コマンド リファレンス を参照してください。

VECS には、次のストアが含まれます。

表 1. VECS 内のストア

ストア

説明

マシン SSL ストア (MACHINE_SSL_CERT)

  • 各 vSphere ノード上のリバースプロキシ サービスにより使用されます。

  • 組み込みデプロイおよび各 Platform Services Controller ノード上の VMware ディレクトリ サービス (vmdir) によって使用されます。

vSphere 6.0 のすべてのサービスは、リバース プロキシを介して通信を行っており、ここで、マシン SSL 証明書が使用されます。下位互換性を保つため、5.x サービスでは特定のポートが引き続き使用されています。その結果、vpxd などの一部のサービスでは、自身のポートが開かれたままになっています。

信頼されたルート ストア (TRUSTED_ROOTS)

すべての信頼済みルート証明書を含みます。

ソリューション ユーザー ストア

  • マシン

  • vpxd

  • vpxd-extensions

  • vsphere-webclient

VECS には、ソリューション ユーザーごとに 1 つのストアが含まれます。各ソリューション ユーザー証明書の件名は一意でなければなりません。たとえば、マシン証明書には vpxd 証明書と同じ件名を指定できません。

ソリューション ユーザー証明書は、vCenter Single Sign-On での認証に使用されます。vCenter Single Sign-On は、証明書が有効であることを確認しますが、その他の証明書の属性は確認しません。組み込みのデプロイでは、すべてのソリューション ユーザー証明書が同じシステム上に存在します。

次のソリューション ユーザー証明書ストアが、各管理ノードと各組み込みデプロイの VECS に含まれています。

  • machine: Component Manager、ライセンス サーバ、およびログ サービスにより使用されます。

    注:

    マシン ソリューション ユーザー証明書は、マシン SSL 証明書とは無関係です。マシン ソリューション ユーザー証明書は SAML トークン交換に使用される一方、マシン SSL 証明書はマシン向けのセキュリティで保護された SSL 接続に使用されます。

  • vpxd:管理ノードおよび組み込みデプロイ上の、vCenter サービス デーモン (vpxd) ストア。vpxd は、このストアに格納されているソリューション ユーザー証明書を使用して、vCenter Single Sign-On への認証を行います。

  • vpxd-extensions:vCenter の拡張機能のストア。Auto Deploy サービス、Inventory Service、およびその他のソリューション ユーザーに含まれないその他のサービス。

  • vsphere-webclientvSphere Web Client ストア。パフォーマンス チャート サービスなどの一部の追加サービスも含まれます。

マシン ストアは、各 Platform Services Controller ノードにも含まれています。

vSphere Certificate Manager ユーティリティのバックアップ ストア (BACKUP_STORE)

証明書の取り消しをサポートするために、VMCA (VMware Certificate Manager) によって使用されます。最新の状態のみがバックアップとして保存され、1 段階より多く戻ることはできません。

その他のストア

その他のストアが、ソリューションによって追加される場合があります。たとえば、仮想ボリューム ソリューションにより SMS ストアが追加されます。VMware ドキュメントまたは当社のナレッジ ベースで指示されないかぎり、ストア内の証明書を変更しないでください。

注:

vSphere 6.0 では CRLS はサポートされませんが、TRUSTED_ROOTS_CRLS ストアを削除すると、証明書インフラストラクチャが破損する可能性があります。TRUSTED_ROOTS_CRLS ストアの削除や修正は行わないでください。

vCenter Single Sign-On サービスは、トークン署名証明書とその SSL 証明書をディスク上に保存します。トークン署名証明書は、vSphere Web Client から変更できます。

注:

VMware のドキュメントやナレッジ ベース記事で指示されていない限り、ディスク上の証明書ファイルはいずれも変更しないでください。変更すると予期しない動作が生じる可能性があります。

証明書の中には、起動時に一時的にまたは永続的にファイル システム上に保存されるものがあります。ファイル システム上の証明書は変更しないでください。VECS に保存されている証明書に対する操作を行うには vecs-cli を使用します。