VMware Endpoint 証明書ストア (VECS) は、キーストアに保存できる証明書とプライベート キーなどの証明書情報のローカル(クライアント側)リポジトリとして機能します。VMCA を認証局および証明書署名者として使用しないようにすることもできますが、vCenter のすべての証明書、キーなどの保存には VECS を使用する必要があります。ESXi 証明書は、VECS 内ではなく各ホスト上にローカルに保存されます。

VECS は、VMware 認証フレームワーク デーモン (VMAFD) の一部として実行されます。VECS は、組み込みデプロイ、Platform Services Controller ノード、および管理ノードでそれぞれ実行されます。VECS には、証明書とキーが含まれるキーストアが保持されます。

VECS は、更新のため定期的に VMware ディレクトリ サービス (vmdir) を信頼されたルート ストアにポーリングします。VECS 内の証明書とキーは、vecs-cli コマンドを使用して明示的に管理することもできます。vecs-cli コマンド リファレンスを参照してください。

VECS には、次のストアが含まれます。
表 1. VECS 内のストア
ストア 説明
マシン SSL ストア (MACHINE_SSL_CERT)
  • 各 vSphere ノード上のリバースプロキシ サービスによって使用されます。
  • 組み込みデプロイおよび各 Platform Services Controller ノード上の VMware Directory Service (vmdir) によって使用されます。

vSphere 6.0 以降のすべてのサービスは、マシン SSL 証明書を使用するリバース プロキシを介して通信されます。下位互換性を保つため、5.x サービスでは特定のポートが引き続き使用されています。その結果、vpxd などの一部のサービスのポートが開かれたままになります。

信頼されたルート ストア (TRUSTED_ROOTS) すべての信頼済みルート証明書を含みます。
ソリューション ユーザー ストア
  • machine
  • vpxd
  • vpxd-extension
  • vsphere-webclient
VECS には、ソリューション ユーザーごとに 1 つのストアが含まれます。各ソリューション ユーザー証明書の件名は一意でなければなりません。たとえば、マシン証明書には vpxd 証明書と同じ件名を指定できません。

ソリューション ユーザー証明書は、vCenter Single Sign-On での認証に使用されます。vCenter Single Sign-On は、証明書が有効であることを確認しますが、その他の証明書の属性は確認しません。組み込みのデプロイでは、すべてのソリューション ユーザー証明書が同じシステム上に存在します。

次のソリューション ユーザー証明書ストアが、各管理ノードと各組み込みデプロイの VECS に含まれています。

  • machine:License Server およびログ サービスにより使用されます。
    注: マシン ソリューション ユーザー証明書は、マシン SSL 証明書とは無関係です。マシン ソリューション ユーザー証明書は、SAML トークン交換に使用されます。マシン SSL 証明書は、マシン向けのセキュア SSL 接続に使用されます。
  • vpxd:管理ノードおよび組み込みデプロイ上の、vCenter サービス デーモン (vpxd) ストア。vpxd は、このストアに格納されているソリューション ユーザー証明書を使用して、vCenter Single Sign-On への認証を行います。
  • vpxd-extension:vCenter Server 拡張機能のストア。Auto Deploy サービス、Inventory Service、およびその他のソリューション ユーザーに含まれないその他のサービス。
  • vsphere-webclientvSphere Web Client ストア。パフォーマンス チャート サービスなどの一部の追加サービスも含まれます。

Platform Services Controller ノードには machine 証明書が含まれます。

vSphere Certificate Manager ユーティリティのバックアップ ストア (BACKUP_STORE) 証明書の取り消しをサポートするために、Certificate Manager によって使用されます。最新の状態のみがバックアップとして保存され、1 段階より多く戻ることはできません。
その他のストア その他のストアが、ソリューションによって追加される場合があります。たとえば、Virtual Volumes ソリューションにより SMS ストアが追加されます。VMware ドキュメントまたは VMware ナレッジベースの記事で指示されないかぎり、ストア内の証明書は変更しないでください。
注: TRUSTED_ROOTS_CRLS ストアを削除すると、証明書インフラストラクチャが破損することがあります。TRUSTED_ROOTS_CRLS ストアの削除や修正は行わないでください。

vCenter Single Sign-On サービスは、トークン署名証明書とその SSL 証明書をディスク上に保存します。トークン署名証明書は、vSphere Client から変更できます。

証明書の中には、起動時に一時的にまたは永続的にファイル システム上に保存されるものがあります。ファイル システム上の証明書は変更しないでください。VECS に保存されている証明書に対する操作を行うには vecs-cli を使用します。

注: VMware のドキュメントやナレッジ ベース記事で指示されていない限り、ディスク上の証明書ファイルはいずれも変更しないでください。変更すると予期しない動作が生じる可能性があります。