VECS(VMware Endpoint 인증서 저장소)는 인증서, 개인 키 및 키 저장소에 저장할 수 있는 다른 인증서 정보의 로컬(클라이언트 측) 저장소 역할을 합니다. VMCA를 인증 기관 및 인증서 서명자로 사용하지 않도록 결정할 수 있지만, vCenter 인증서, 키 등을 저장하기 위해서는 VECS를 사용해야 합니다. ESXi 인증서는 각 호스트에 로컬로 저장되며 VECS에 저장되지 않습니다.
VECS는 VMAFD(VMware Authentication Framework 대몬)의 일부로 실행됩니다. VECS는 모든 vCenter Server 노드에서 실행되며 인증서와 키가 포함된 키 저장소를 포함합니다.
VECS는 신뢰할 수 있는 루트 저장소에 대한 업데이트를 위해 vmdir(VMware 디렉토리 서비스)를 주기적으로 폴링합니다. 또한 vecs-cli 명령을 사용하여 VECS에서 인증서 및 키를 명시적으로 관리할 수도 있습니다. vecs-cli 명령 참조의 내용을 참조하십시오.
저장소 | 설명 |
---|---|
시스템 SSL 저장소(MACHINE_SSL_CERT) |
vSphere 6.0 이상에서 모든 서비스는 시스템 SSL 인증서를 사용하는 역방향 프록시를 통해 통신합니다. 역방향 호환성을 위해 5.x 서비스는 여전히 특정 포트를 사용합니다. 그 결과 vpxd와 같은 일부 서비스는 여전히 자체 포트를 열어둡니다. |
솔루션 사용자 저장소
|
VECS에는 각 솔루션 사용자에 대한 하나의 저장소가 포함됩니다. 각 솔루션 사용자 인증서의 주체는 고유해야 합니다. 예를 들어 시스템 인증서는 vpxd 인증서와 동일한 주체를 가질 수 없습니다. 솔루션 사용자 인증서는 vCenter Single Sign-On 인증에 사용됩니다. vCenter Single Sign-On은 인증서가 유효한지 확인하지만 다른 인증서 특성은 확인하지 않습니다. 다음 솔루션 사용자 인증서 저장소는 VECS에 포함되어 있습니다.
각 vCenter Server 노드에는 |
신뢰할 수 있는 루트 저장소(TRUSTED_ROOTS) | 모든 신뢰할 수 있는 루트 인증서가 포함됩니다. |
vSphere Certificate Manager 유틸리티 백업 저장소(BACKUP_STORE) | VMCA(VMware Certificate Manager)에서 인증서 복구를 지원하기 위해 사용합니다. 최근 상태만 백업으로 저장되며 한 단계까지만 되돌아갈 수 있습니다. |
기타 저장소 | 솔루션을 통해 기타 저장소가 추가될 수 있습니다. 예를 들어 Virtual Volumes 솔루션은 SMS 저장소를 추가합니다. VMware 설명서 또는 VMware 기술 자료 문서에서 그렇게 하라고 지시하지 않는 이상 이러한 저장소의 인증서를 수정하지 마십시오.
참고: TRUSTED_ROOTS_CRLS 저장소를 삭제하면 인증서 인프라가 손상될 수 있습니다. TRUSTED_ROOTS_CRLS 저장소를 삭제하거나 수정하지 마십시오.
|
vCenter Single Sign-On 서비스는 토큰 서명 인증서와 해당 SSL 인증서를 디스크에 저장합니다. CLI에서 토큰 서명 인증서를 변경할 수 있습니다.
일부 인증서는 시작 도중 임시로 또는 영구적으로 파일 시스템에 저장됩니다. 파일 시스템의 인증서를 변경하지 마십시오.