VMware Endpoint 憑證存放區 (VECS) 可充當儲存憑證、私密金鑰及其他可儲存於金鑰儲存區之憑證資訊的本機 (用戶端) 存放庫。您可以決定不使用 VMCA 做為憑證授權機構和憑證簽署者,但您必須使用 VECS 儲存所有 vCenter 憑證、金鑰等等。ESXi憑證會儲存在每台主機本機上,而不會儲存於 VECS 中。

VECS 會隨 VMware Authentication Framework 精靈 (VMAFD) 一併執行。VECS 會在每個 vCenter Server節點上執行,且具有包含憑證與金鑰的金鑰儲存區。

VECS 會定期輪詢 VMware Directory Service (vmdir) 以查看受信任的根存放區是否有任何更新。您也可以使用vecs-cli命令明確管理 VECS 中的憑證和金鑰。請參閱vecs-cli 命令參考

VECS 包含下列存放區。
表 1. VECS 中的存放區
存放區 說明
機器的 SSL 存放區 (MACHINE_SSL_CERT)
  • 由每個 vSphere 節點上反向 Proxy 服務所使用。
  • 由每個 vCenter Server 節點上 VMware Directory Service (vmdir) 所使用。

vSphere 6.0 及更新版本中的所有服務都會透過使用機器 SSL 憑證的反向 Proxy 進行通訊。為確保回溯相容性,5.x 服務仍會使用特定的連接埠。因此,部分服務 (例如 vpxd) 仍會將自己的連接埠維持開啟。

解決方案使用者存放區
  • machine
  • vpxd
  • vpxd-extension
  • vsphere-webclient
  • wcp
對於每個解決方案使用者,VECS 包含一個存放區。每個解決方案使用者憑證的主旨必須是唯一的,例如,機器憑證不能與 vpxd 憑證的主旨相同。

解決方案使用者憑證用於透過 vCenter Single Sign-On 進行驗證。vCenter Single Sign-On 會檢查憑證是否有效,但不會檢查其他憑證屬性。

VECS 中包括下列解決方案使用者憑證存放區:

  • machine:由 License Server 及記錄服務所使用。
    備註: 機器解決方案使用者憑證與機器的 SSL 憑證毫無關聯。機器解決方案使用者憑證用於進行 SAML Token 交換。機器的 SSL 憑證用於對機器進行安全 SSL 連線。
  • vpxd:vCenter 服務精靈 (vpxd) 存放區。vpxd 會使用儲存在此存放區中的解決方案使用者憑證來驗證 vCenter Single Sign-On
  • vpxd-extension:vCenter 延伸存放區。包含 Auto Deploy 服務、Inventory Service 及不屬於其他解決方案使用者的其他服務。
  • vsphere-webclientvSphere Client 存放區。還包括一些其他服務,例如效能圖服務。
  • wcp:VMware vSphere® with VMware Tanzu™ 存放區。

每個 vCenter Server 節點均包含一個 machine 憑證。

受信任的根存放區 (TRUSTED_ROOTS) 包含所有受信任的根憑證。
vSphere Certificate Manager 公用程式備份存放區 (BACKUP_STORE) 由 VMCA (VMware Certificate Manager) 用於支援憑證還原。只有最新狀態會儲存為備份,您無法還原一個以上的步驟。
其他存放區 其他存放區可能由解決方案新增。例如,Virtual Volumes 解決方案將新增一個 SMS 存放區。除非 VMware 說明文件或 VMware 知識庫文章指示您修改這些存放區中的憑證,否則請勿這麼做。
備註: 刪除 TRUSTED_ROOTS_CRLS 存放區會損壞您的憑證基礎結構。請勿刪除或修改 TRUSTED_ROOTS_CRLS 存放區。

vCenter Single Sign-On服務會將 Token 簽署憑證及其 SSL 憑證儲存於磁碟中。您可以從 CLI 變更 Token 簽署憑證。

部分憑證會在啟動期間暫時或永久儲存在檔案系統中。請勿變更檔案系統中的憑證。

備註: 除非 VMware 說明文件或知識庫文章做出相關指示,否則請勿變更磁碟上的任何憑證檔案。否則可能導致發生無法預期的行為。