VMware Endpoint 証明書ストア (VECS) は、キーストアに保存できる証明書とプライベート キーなどの証明書情報のローカル(クライアント側)リポジトリとして機能します。VMCA を認証局および証明書署名者として使用しないようにすることもできますが、vCenter のすべての証明書、キーなどの保存には VECS を使用する必要があります。ESXi証明書は、VECS 内ではなく各ホスト上にローカルに保存されます。

VECS は、VMware 認証フレームワーク デーモン (VMAFD) の一部として実行されます。VECS は、vCenter Serverノードそれぞれで実行されます。VECS には、証明書とキーが含まれるキーストアが保持されます。

VECS は、更新のため定期的に VMware ディレクトリ サービス (vmdir) を信頼されたルート ストアにポーリングします。VECS 内の証明書とキーは、vecs-cliコマンドを使用して明示的に管理することもできます。vecs-cli コマンド リファレンスを参照してください。

VECS には、次のストアが含まれます。
表 1. VECS 内のストア
ストア 説明
マシン SSL ストア (MACHINE_SSL_CERT)
  • 各 vSphere ノード上のリバースプロキシ サービスによって使用されます。
  • vCenter Server ノード上の VMware Directory Service (vmdir) によって使用されます。

vSphere 6.0 以降のすべてのサービスは、マシン SSL 証明書を使用するリバース プロキシを介して通信されます。下位互換性を保つため、5.x サービスでは特定のポートが引き続き使用されています。その結果、vpxd などの一部のサービスのポートが開かれたままになります。

ソリューション ユーザー ストア
  • machine
  • vpxd
  • vpxd-extension
  • vsphere-webclient
  • wcp
VECS には、ソリューション ユーザーごとに 1 つのストアが含まれます。各ソリューション ユーザー証明書の件名は一意でなければなりません。たとえば、マシン証明書には vpxd 証明書と同じ件名を指定できません。

ソリューション ユーザー証明書は、vCenter Single Sign-On での認証に使用されます。vCenter Single Sign-On は、証明書が有効であることを確認しますが、その他の証明書の属性は確認しません。

次のソリューション ユーザー証明書ストアが VECS に含まれています。

  • machine:License Server およびログ サービスにより使用されます。
    注: マシン ソリューション ユーザー証明書は、マシン SSL 証明書とは無関係です。マシン ソリューション ユーザー証明書は、SAML トークン交換に使用されます。マシン SSL 証明書は、マシン向けのセキュア SSL 接続に使用されます。
  • vpxd:vCenter サービス デーモン (vpxd) ストア。vpxd は、このストアに保存されているソリューション ユーザー証明書を使用して vCenter Single Sign-On への認証を行います。
  • vpxd-extension:vCenter Server 拡張機能のストア。Auto Deploy サービス、Inventory Service、およびその他のソリューション ユーザーに含まれないその他のサービス。
  • vsphere-webclientvSphere Client ストア。パフォーマンス チャート サービスなどの一部の追加サービスも含まれます。
  • wcp:VMware vSphere® with VMware Tanzu™ ストア。

vCenter Server ノードには machine 証明書が含まれます。

信頼されたルート ストア (TRUSTED_ROOTS) すべての信頼済みルート証明書を含みます。
vSphere Certificate Manager ユーティリティのバックアップ ストア (BACKUP_STORE) 証明書の取り消しをサポートするために、Certificate Manager によって使用されます。最新の状態のみがバックアップとして保存され、1 段階より多く戻ることはできません。
その他のストア その他のストアが、ソリューションによって追加される場合があります。たとえば、Virtual Volumes ソリューションにより SMS ストアが追加されます。VMware ドキュメントまたは VMware ナレッジベースの記事で指示されないかぎり、ストア内の証明書は変更しないでください。
注: TRUSTED_ROOTS_CRLS ストアを削除すると、証明書インフラストラクチャが破損することがあります。TRUSTED_ROOTS_CRLS ストアの削除や修正は行わないでください。

vCenter Single Sign-Onサービスは、トークン署名証明書とその SSL 証明書をディスク上に保存します。トークン署名証明書は、CLI から変更できます。

証明書の中には、起動時に一時的にまたは永続的にファイル システム上に保存されるものがあります。ファイル システム上の証明書は変更しないでください。

注: VMware のドキュメントやナレッジ ベース記事で指示されていない限り、ディスク上の証明書ファイルはいずれも変更しないでください。変更すると予期しない動作が生じる可能性があります。