VMware Endpoint 証明書ストア (VECS) は、キーストアに保存できる証明書とプライベート キーなどの証明書情報のローカル(クライアント側)リポジトリとして機能します。VMCA を認証局および証明書署名者として使用しないようにすることもできますが、vCenter のすべての証明書、キーなどの保存には VECS を使用する必要があります。ESXi 証明書は、VECS 内ではなく各ホスト上にローカルに保存されます。
VECS は、VMware 認証フレームワーク デーモン (VMAFD) の一部として実行されます。VECS は、組み込みデプロイ、Platform Services Controller ノード、および管理ノードでそれぞれ実行されます。VECS には、証明書とキーが含まれるキーストアが保持されます。
VECS は、更新のため定期的に VMware ディレクトリ サービス (vmdir) を信頼されたルート ストアにポーリングします。VECS 内の証明書とキーは、vecs-cli コマンドを使用して明示的に管理することもできます。vecs-cli コマンド リファレンスを参照してください。
| ストア | 説明 |
|---|---|
| マシン SSL ストア (MACHINE_SSL_CERT) |
vSphere 6.0 以降のすべてのサービスは、マシン SSL 証明書を使用するリバース プロキシを介して通信されます。下位互換性を保つため、5.x サービスでは特定のポートが引き続き使用されています。その結果、vpxd などの一部のサービスのポートが開かれたままになります。 |
| 信頼されたルート ストア (TRUSTED_ROOTS) | すべての信頼済みルート証明書を含みます。 |
ソリューション ユーザー ストア
|
VECS には、ソリューション ユーザーごとに 1 つのストアが含まれます。各ソリューション ユーザー証明書の件名は一意でなければなりません。たとえば、マシン証明書には vpxd 証明書と同じ件名を指定できません。 ソリューション ユーザー証明書は、vCenter Single Sign-On での認証に使用されます。vCenter Single Sign-On は、証明書が有効であることを確認しますが、その他の証明書の属性は確認しません。組み込みのデプロイでは、すべてのソリューション ユーザー証明書が同じシステム上に存在します。 次のソリューション ユーザー証明書ストアが、各管理ノードと各組み込みデプロイの VECS に含まれています。
各 Platform Services Controller ノードには |
| vSphere Certificate Manager ユーティリティのバックアップ ストア (BACKUP_STORE) | 証明書の取り消しをサポートするために、Certificate Manager によって使用されます。最新の状態のみがバックアップとして保存され、1 段階より多く戻ることはできません。 |
| その他のストア | その他のストアが、ソリューションによって追加される場合があります。たとえば、Virtual Volumes ソリューションにより SMS ストアが追加されます。VMware ドキュメントまたは VMware ナレッジベースの記事で指示されないかぎり、ストア内の証明書は変更しないでください。
注: TRUSTED_ROOTS_CRLS ストアを削除すると、証明書インフラストラクチャが破損することがあります。TRUSTED_ROOTS_CRLS ストアの削除や修正は行わないでください。
|
vCenter Single Sign-On サービスは、トークン署名証明書とその SSL 証明書をディスク上に保存します。トークン署名証明書は、vSphere Client から変更できます。
証明書の中には、起動時に一時的にまたは永続的にファイル システム上に保存されるものがあります。ファイル システム上の証明書は変更しないでください。VECS に保存されている証明書に対する操作を行うには vecs-cli を使用します。
