O conjunto de comandos vecs-cli permite que você gerencie instâncias do VMware Certificate Store (VECS). Use esses comandos junto com dir-cli e certool para gerenciar sua infraestrutura de certificado e serviços de autenticação.

vecs-cli store create

Cria um repositório de certificados.

Opção Descrição
--name <name> Nome do repositório de certificados.

--server <server-name>

Usado para especificar um nome de servidor se você se conectar a uma instância remota do VECS.

--upn <user-name>

Nome principal do usuário que é usado para fazer login na instância do servidor especificada por --server <server-name> . Quando você cria uma loja, ela é criada no contexto do usuário atual. Portanto, o proprietário do repositório é o contexto do usuário atual e nem sempre o usuário raiz.

Exemplo: 
vecs-cli store create --name <store>

vecs-cli store delete

Exclui um repositório de certificados. Você não pode excluir os armazenamentos do sistema MACHINE_SSL_CERT, TRUSTED_ROOTS e TRUSTED_ROOT_CRLS. Os usuários com privilégios necessários podem excluir repositórios de usuários de solução.

Opção Descrição
--name <name> Nome do repositório de certificados a ser excluído.

--server <server-name>

Usado para especificar um nome de servidor se você se conectar a uma instância remota do VECS.

--upn <user-name>

Nome principal do usuário que é usado para fazer login na instância do servidor especificada por --server <server-name> . Quando você cria uma loja, ela é criada no contexto do usuário atual. Portanto, o proprietário do repositório é o contexto do usuário atual e nem sempre o usuário raiz.

Exemplo: 
vecs-cli store delete --name <store>

vecs-cli store list

Listar repositórios de certificados.

Opção Descrição

--server <server-name>

Usado para especificar um nome de servidor se você se conectar a uma instância remota do VECS.

--upn <user-name>

Nome principal do usuário que é usado para fazer login na instância do servidor especificada por --server <server-name> . Quando você cria uma loja, ela é criada no contexto do usuário atual. Portanto, o proprietário do repositório é o contexto do usuário atual e nem sempre o usuário raiz.

O VECS inclui as seguintes lojas.
Tabela 1. Armazena no VECS
Loja Descrição
Armazenamento SSL da máquina (MACHINE_SSL_CERT)
  • Usado pelo serviço de proxy reverso em cada nó do vSphere.
  • Usado pelo serviço de diretório VMware (vmdir) em cada nó vCenter Server.

Todos os serviços no vSphere 6.0 e versões posteriores se comunicam por meio de um proxy reverso, que usa o certificado SSL da máquina. Para compatibilidade com versões anteriores, os serviços 5.x ainda usam portas específicas. Como resultado, alguns serviços, como vpxd, ainda têm sua própria porta aberta.

Repositórios de usuários de soluções
  • machine
  • vpxd
  • vpxd-extension
  • vsphere-webclient
  • wcp
 O VECS inclui uma loja para cada usuário da solução. O assunto de cada certificado de usuário de solução deve ser exclusivo, por exemplo, o certificado da máquina não pode ter o mesmo assunto que o certificado vpxd.

Os certificados de usuário de solução são usados para autenticação com o vCenter Single Sign-On. vCenter Single Sign-On verifica se o certificado é válido, mas não verifica outros atributos do certificado.

Os seguintes armazenamentos de certificados de usuário de solução estão incluídos no VECS:

  • machine: usado pelo servidor de licença e o serviço de log.
    Observação: O certificado de usuário da solução de máquina não tem nada a ver com o certificado SSL da máquina. O certificado de usuário da solução de máquina é usado para a troca de token SAML. O certificado SSL da máquina é usado para conexões SSL seguras para uma máquina.
  • vpxd: vCenter service daemon (vpxd) store. O vpxd usa o certificado de usuário da solução que está armazenado neste repositório para autenticar o vCenter Single Sign-On.
  • vpxd-extension: armazenamento de extensões do vCenter. Inclui o serviço Auto Deploy, o serviço de inventário e outros serviços que não fazem parte de outros usuários da solução.
  • vsphere-webclient: vSphere Client store. Também inclui alguns serviços adicionais, como o serviço de gráfico de desempenho.
  • wcp: VMware vSphere® com VMware Tanzu™ store.

Cada nó vCenter Server inclui um certificado machine.

Repositório raiz confiável (TRUSTED_ROOTS) Contém todos os certificados raiz confiáveis.
vSphere Certificate Manager Armazenamento de backup de utilitário (BACKUP_STORE) Usado pelo VMCA (VMware Certificate Manager) para oferecer suporte à reversão de certificado. Apenas o estado mais recente é armazenado como backup. Não é possível retroceder mais de uma etapa.
Outras lojas Outras lojas podem ser adicionadas por soluções. Por exemplo, a solução Virtual Volumes adiciona um armazenamento de SMS. Não modifique os certificados nesses repositórios, a menos que a documentação da VMware ou um artigo da base de conhecimento do VMware instrua você a fazê-lo.
Observação: Excluir o repositório TRUSTED_ROOTS_CRLS pode danificar sua infraestrutura de certificado. Não exclua ou modifique o repositório TRUSTED_ROOTS_CRLS.
Exemplo: 
vecs-cli store list

vecs-cli store permissions

Concede ou revoga permissões para o armazenamento. Use a opção --grant ou --revoke.

O proprietário do armazenamento pode realizar todas as operações, incluindo conceder e revogar permissões. O administrador do domínio local do vCenter Single Sign-On, [email protected] por padrão, tem todos os privilégios em todos os armazenamentos, incluindo a concessão e a revogação de permissões.

Você pode usar o vecs-cli get-permissions --name <store-name> para recuperar as configurações atuais da loja.

Opção Descrição
--name <name> Nome do repositório de certificados.
--user <username> Nome exclusivo do usuário que tem permissões.
--grant [read|write] Permissão para conceder, leitura ou gravação.
--revoke [read|write] Permissão para revogar, ler ou gravar. Não suportado atualmente.

vecs-cli store get-permissions

Recupera as configurações de permissão atuais para o armazenamento.

Opção Descrição
--name <name> Nome do repositório de certificados.

--server <server-name>

Usado para especificar um nome de servidor se você se conectar a uma instância remota do VECS.

--upn <user-name>

Nome principal do usuário que é usado para fazer login na instância do servidor especificada por --server <server-name> . Quando você cria uma loja, ela é criada no contexto do usuário atual. Portanto, o proprietário do repositório é o contexto do usuário atual e nem sempre o usuário raiz.

vecs-cli entry create

Cria uma entrada no VECS. Use esse comando para adicionar uma chave privada ou um certificado a um repositório.

Observação: Não use esse comando para adicionar certificados raiz ao repositório TRUSTED_ROOTS. Em vez disso, use o comando dir-cli para publicar certificados raiz.
Opção Descrição

--store <NameOfStore>

Nome do repositório de certificados.

--alias <Alias> Alias opcional para o certificado. Essa opção é ignorada para o repositório raiz confiável.
--cert <certificate_file_path> Caminho completo do arquivo de certificado.
--key <key-file-path>

Caminho completo da chave que corresponde ao certificado.

Opcional.
--password <password> Senha opcional para criptografar a chave privada.

--server <server-name>

Usado para especificar um nome de servidor se você se conectar a uma instância remota do VECS.

--upn <user-name>

Nome principal do usuário que é usado para fazer login na instância do servidor especificada por --server <server-name> . Quando você cria uma loja, ela é criada no contexto do usuário atual. Portanto, o proprietário do repositório é o contexto do usuário atual e nem sempre o usuário raiz.

lista de entrada vecs-cli

Lista todas as entradas em um armazenamento especificado.

Opção Descrição
--store <NameOfStore>

Nome do repositório de certificados.

vecs-cli entry getcert

Recupera um certificado do VECS. Você pode enviar o certificado para um arquivo de saída ou exibi-lo como texto legível.

Opção Descrição
--store <NameOfStore>

Nome do repositório de certificados.

--alias <Alias> Alias do certificado.
--output <output_file_path> Arquivo para gravar o certificado.
--text Exibe uma versão legível do certificado.

--server <server-name>

Usado para especificar um nome de servidor se você se conectar a uma instância remota do VECS.

--upn <user-name>

Nome principal do usuário que é usado para fazer login na instância do servidor especificada por --server <server-name> . Quando você cria uma loja, ela é criada no contexto do usuário atual. Portanto, o proprietário do repositório é o contexto do usuário atual e nem sempre o usuário raiz.

getkey de entrada vecs-cli

Recupera uma chave armazenada no VECS. Você pode enviar a chave para um arquivo de saída ou exibi-la como texto legível.

Opção Descrição
--store <NameOfStore>

Nome do repositório de certificados.

--alias <Alias> Pseudônimo para a chave.
--output <output_file_path> Arquivo de saída para gravar a chave.
--text Exibe uma versão legível da chave.

--server <server-name>

Usado para especificar um nome de servidor se você se conectar a uma instância remota do VECS.

--upn <user-name>

Nome principal do usuário que é usado para fazer login na instância do servidor especificada por --server <server-name> . Quando você cria uma loja, ela é criada no contexto do usuário atual. Portanto, o proprietário do repositório é o contexto do usuário atual e nem sempre o usuário raiz.

vecs-cli entry delete

Exclui uma entrada em um repositório de certificados. Se você excluir uma entrada no VECS, você a removerá permanentemente do VECS. A única exceção é o certificado raiz atual. VECS pesquisa vmdir para um certificado raiz.

Opção Descrição
--store <NameOfStore>

Nome do repositório de certificados.

--alias <Alias> Pseudônimo para a entrada que você deseja excluir.

--server <server-name>

Usado para especificar um nome de servidor se você se conectar a uma instância remota do VECS.

--upn <user-name>

Nome principal do usuário que é usado para fazer login na instância do servidor especificada por --server <server-name> . Quando você cria uma loja, ela é criada no contexto do usuário atual. Portanto, o proprietário do repositório é o contexto do usuário atual e nem sempre o usuário raiz.

-y Suprime o prompt de confirmação. Somente para usuários avançados.

vecs-cli force-refresh

Força uma atualização do VECS. Por padrão, o VECS consulta o vmdir em busca de novos arquivos de certificado raiz a cada 5 minutos. Use este comando para uma atualização imediata do VECS do vmdir.

Opção Descrição

--server <server-name>

Usado para especificar um nome de servidor se você se conectar a uma instância remota do VECS.

--upn <user-name>

Nome principal do usuário que é usado para fazer login na instância do servidor especificada por --server <server-name> . Quando você cria uma loja, ela é criada no contexto do usuário atual. Portanto, o proprietário do repositório é o contexto do usuário atual e nem sempre o usuário raiz.