VECS(VMware Endpoint 인증서 저장소)는 인증서, 개인 키 및 키 저장소에 저장할 수 있는 다른 인증서 정보의 로컬(클라이언트 측) 저장소 역할을 합니다. VMCA를 인증 기관 및 인증서 서명자로 사용하지 않도록 결정할 수 있지만, vCenter 인증서, 키 등을 저장하기 위해서는 VECS를 사용해야 합니다. ESXi 인증서는 각 호스트에 로컬로 저장되며 VECS에 저장되지 않습니다.

VECS는 VMAFD(VMware 인증 프레임워크 대몬)의 일부로 실행됩니다. VECS는 모든 내장된 배포, Platform Services Controller 노드 및 관리 노드에서 실행되며 인증서와 키가 포함된 키 저장소를 포함합니다.

VECS는 TRUSTED_ROOTS 저장소에 대한 업데이트를 위해 vmdir(VMware 디렉토리 서비스)를 주기적으로 폴링합니다. 또한 vecs-cli 명령을 사용하여 VECS에서 인증서 및 키를 명시적으로 관리할 수도 있습니다. vecs-cli 명령 참조를 참조하십시오.

VECS에는 다음과 같은 저장소가 포함됩니다.

표 1. VECS의 저장소

저장소

설명

시스템 SSL 저장소(MACHINE_SSL_CERT)

  • 모든 vSphere 노드의 역방향 프록시 서비스에서 사용됩니다.

  • 내장된 배포 및 각 Platform Services Controller 노드의 VMware 디렉토리 서비스(vmdir)에서 사용합니다.

vSphere 6.0에서 모든 서비스는 시스템 SSL 인증서를 사용하는 역방향 프록시를 통해 통신합니다. 역방향 호환성을 위해 5.x 서비스는 여전히 특정 포트를 사용합니다. 그 결과 vpxd와 같은 일부 서비스는 아직 자체 포트를 열어둡니다.

신뢰할 수 있는 루트 저장소(TRUSTED_ROOTS)

모든 신뢰할 수 있는 루트 인증서가 포함됩니다.

솔루션 사용자 저장소

  • machine

  • vpxd

  • vpxd-extensions

  • vsphere-webclient

VECS에는 각 솔루션 사용자에 대한 하나의 저장소가 포함됩니다. 각 솔루션 사용자 인증서의 주체는 고유해야 합니다. 예를 들어 시스템 인증서는 vpxd 인증서와 동일한 주체를 가질 수 없습니다.

솔루션 사용자 인증서는 vCenter Single Sign-On을 사용한 인증에 사용됩니다. vCenter Single Sign-On은 인증서가 올바른지 확인하지만 다른 인증서 특성은 확인하지 않습니다. 포함된 배포에서 모든 솔루션 사용자 인증서는 같은 시스템에 있습니다.

각 관리 노드 및 각 내장된 배포의 VECS에 다음의 솔루션 사용자 인증서 저장소가 포함되어 있습니다.

  • machine: 구성 요소 관리자, 라이센스 서버 및 로깅 서비스에서 사용됩니다.

    참고:

    이 시스템 솔루션 사용자 인증서는 시스템 SSL 인증서와 아무 관련이 없습니다. 이 시스템 솔루션 사용자 인증서는 SAML 토큰 교환에 사용되며 시스템 SSL 인증서는 시스템에 대한 보안 SSL 연결에 사용됩니다.

  • vpxd: 관리 노드 및 내장된 배포의 vCenter 서비스 대몬(vpxd) 저장소. vpxd는 이 저장소에 저장된 솔루션 사용자 인증서를 사용하여 vCenter Single Sign-On에 인증합니다.

  • vpxd-extensions: vCenter 확장 저장소. Auto Deploy 서비스, Inventory Service를 비롯해 다른 솔루션 사용자의 일부가 아닌 기타 서비스가 포함됩니다.

  • vsphere-webclient: vSphere Web Client 저장소. 성능 차트 서비스와 같은 일부 추가 서비스도 포함됩니다.

시스템 저장소는 각 Platform Services Controller 노드에도 포함됩니다.

vSphere Certificate Manager 유틸리티 백업 저장소(BACKUP_STORE)

VMCA(VMware Certificate Manager)에서 인증서 복구를 지원하기 위해 사용합니다. 최근 상태만 백업으로 저장되며 한 단계까지만 되돌아갈 수 있습니다.

기타 저장소

솔루션을 통해 기타 저장소가 추가될 수 있습니다. 예를 들어 가상 볼륨 솔루션은 SMS 저장소를 추가합니다. VMware 설명서 또는 VMware 기술 자료 문서에서 그렇게 하라고 지시하지 않는 이상 이러한 저장소의 인증서를 수정하지 마십시오.

참고:

CRLS는 vSphere 6.0에서 지원되지 않지만 TRUSTED_ROOTS_CRLS 저장소를 삭제하면 인증서 인프라가 손상될 수 있습니다. TRUSTED_ROOTS_CRLS 저장소를 삭제하거나 수정하지 마십시오.

vCenter Single Sign-On 서비스는 토큰 서명 인증서와 해당 SSL 인증서를 디스크에 저장합니다. vSphere Web Client에서 토큰 서명 인증서를 변경할 수 있습니다.

참고:

VMware 설명서 또는 기술 자료 문서에서 그렇게 하라고 지시하지 않는 한 인증서 파일을 변경하지 마십시오. 그렇지 않으면 예기치 않은 동작이 발생할 수 있습니다.

일부 인증서는 시작 도중 임시로 또는 영구적으로 파일 시스템에 저장됩니다. 파일 시스템의 인증서를 변경하지 마십시오. VECS에 저장된 인증서에 대한 작업을 수행하려면 vecs-cli를 사용합니다.