VMware Endpoint 憑證存放區 (VECS) 用作儲存憑證、私密金鑰及其他可儲存於金鑰儲存區之憑證資訊的本機 (用戶端) 存放庫。您可以決定不使用 VMCA 做為憑證授權機構和憑證簽署者,但您必須使用 VECS 儲存所有 vCenter 憑證、金鑰等等。ESXi 憑證會本機儲存於每台主機,而不會儲存於 VECS 中。

VECS 會於 VMware 驗證架構精靈 (VMAFD) 一併執行。VECS 會在每個內嵌式部署、Platform Services Controller 節點及管理節點上執行,且具有包含憑證與金鑰的金鑰儲存區。

VECS 會定期輪詢 VMware 目錄服務 (vmdir) 以查看 TRUSTED_ROOTS 存放區是否有任何更新。您也可以使用 vecs-cli 命令明確管理 VECS 中的憑證和金鑰。請參閱 vecs-cli 命令參考

VECS 包含下列存放區。

表格 1. VECS 中的存放區

存放區

描述

機器的 SSL 存放區 (MACHINE_SSL_CERT)

  • 由每個 vSphere 節點上反向 Proxy 服務所使用。

  • 供內嵌式部署和每個 Platform Services Controller 節點上的 VMware 目錄服務 (vmdir) 使用。

vSphere 6.0 中的所有服務都會透過使用機器 SSL 憑證的反向 Proxy 進行通訊。為確保回溯相容性,5.x 服務仍會使用特定的連接埠。因此,部分服務 (例如 vpxd) 仍會將自己的連接埠維持開啟。

受信任的根存放區 (TRUSTED_ROOTS)

包含所有受信任的根憑證。

解決方案使用者存放區

  • machine

  • vpxd

  • vpxd-extensions

  • vsphere-webclient

對於每個解決方案使用者,VECS 包含一個存放區。每個解決方案使用者憑證的主旨必須是唯一的,例如,機器憑證不能與 vpxd 憑證的主旨相同。

解決方案使用者憑證用於透過 vCenter Single Sign-On 進行驗證。vCenter Single Sign-On 會檢查憑證是否有效,但不會檢查其他憑證屬性。在內嵌式部署中,所有解決方案使用者憑證均位於同一系統中。

每個管理節點和每個內嵌式部署上的 VECS 中包含下列解決方案使用者憑證存放區:

  • 機器:由 Component Manager、授權伺服器及記錄服務所使用。

    備註︰

    機器解決方案使用者憑證與機器的 SSL 憑證毫無關聯。機器解決方案使用者憑證用於進行 SAML Token 交換;機器的 SSL 憑證用於對機器進行安全 SSL 連線。

  • vpxd:vCenter 服務精靈 (vpxd) 存放區位於管理節點和內嵌式部署中。vpxd 會使用此存放區中儲存的解決方案使用者憑證向 vCenter Single Sign-On 進行驗證。

  • vpxd-extensions:vCenter 延伸存放區。包含 Auto Deploy 服務、Inventory Service 及不屬於其他解決方案使用者的其他服務。

  • vsphere-webclientvSphere Web Client 存放區。還包括一些其他服務,例如效能圖服務。

每個 Platform Services Controller 節點中也包含機器存放區。

vSphere Certificate Manager 公用程式備份存放區 (BACKUP_STORE)

由 VMCA (VMware Certificate Manager) 用於支援憑證還原。只有最新狀態會儲存為備份,您無法還原一個以上的步驟。

其他存放區

其他存放區可能由解決方案新增。例如,虛擬磁碟區解決方案將新增一個 SMS 存放區。除非 VMware 說明文件或 VMware 知識庫文章指示您修改這些存放區中的憑證,否則請勿這麼做。

備註︰

vSphere 6.0 不支援 CRLS,然而,刪除 TRUSTED_ROOTS_CRLS 存放區可能會破壞憑證基礎結構。請勿刪除或修改 TRUSTED_ROOTS_CRLS 存放區。

vCenter Single Sign-On 服務會將 Token 簽署憑證及其 SSL 憑證儲存於磁碟中。您可以從 vSphere Web Client 變更 Token 簽署憑證。

備註︰

除非 VMware 說明文件或知識庫文章做出相關指示,否則請勿變更磁碟上的任何憑證檔案。否則可能導致發生無法預期的行為。

部分憑證會在啟動期間暫時或永久儲存在檔案系統中。請勿變更檔案系統中的憑證。請使用 vecs-cli 對 VECS 中儲存的憑證執行作業。