O conjunto de comandos vecs-cli permite gerenciar instâncias do VMware Certificate Store (VECS). Use esses comandos junto com dir-cli e certool para gerenciar sua infraestrutura de certificados e serviços de autenticação.

vecs-cli store create

Cria um repositório de certificados.

Opção Descrição
--name <name> Nome do repositório de certificados.

--server <server-name>

Usado para especificar um nome de servidor se você se conectar a uma instância remota do VECS.

--upn <user-name>

User Principle Nome que é usado para fazer login na instância do servidor especificada por --server <server-name> . Quando você cria um repositório, ele é criado no contexto do usuário atual. Portanto, o proprietário do repositório é o contexto do usuário atual e nem sempre o usuário raiz.

Exemplo:
vecs-cli store create --name <store>

vecs-cli store delete

Exclui um repositório de certificados. Não é possível excluir os armazenamentos do sistema MACHINE_SSL_CERT, TRUSTED_ROOTS e TRUSTED_ROOT_CRLS. Os usuários com os privilégios necessários podem excluir repositórios de usuários da solução.

Opção Descrição
--name <name> Nome do repositório de certificados a ser excluído.

--server <server-name>

Usado para especificar um nome de servidor se você se conectar a uma instância remota do VECS.

--upn <user-name>

User Principle Nome que é usado para fazer login na instância do servidor especificada por --server <server-name> . Quando você cria um repositório, ele é criado no contexto do usuário atual. Portanto, o proprietário do repositório é o contexto do usuário atual e nem sempre o usuário raiz.

Exemplo:
vecs-cli store delete --name <store>

lista de armazenamento vecs-cli

Listar repositórios de certificados.

Opção Descrição

--server <server-name>

Usado para especificar um nome de servidor se você se conectar a uma instância remota do VECS.

--upn <user-name>

User Principle Nome que é usado para fazer login na instância do servidor especificada por --server <server-name> . Quando você cria um repositório, ele é criado no contexto do usuário atual. Portanto, o proprietário do repositório é o contexto do usuário atual e nem sempre o usuário raiz.

O VECS inclui os seguintes armazenamentos.
Tabela 1. Lojas no VECS
Loja Descrição
Armazenamento SSL da máquina (MACHINE_SSL_CERT)
  • Usado pelo serviço de proxy reverso em cada nó vSphere.
  • Usado pelo Serviço de Diretório VMware (vmdir) em cada nó vCenter Server.

Todos os serviços no vSphere 6.0 e versões posteriores se comunicam por meio de um proxy reverso, que usa o certificado SSL da máquina. Para fins de compatibilidade com versões anteriores, os serviços do 5.x ainda usam portas específicas. Como resultado, alguns serviços, como o vpxd, ainda têm sua própria porta aberta.

Armazenamentos do usuário da solução
  • machine
  • vpxd
  • vpxd-extension
  • vsphere-webclient
  • wcp
O VECS inclui um repositório para cada usuário da solução. O assunto de cada certificado de usuário da solução deve ser exclusivo, por exemplo, o certificado da máquina não pode ter o mesmo assunto que o certificado vpxd.

Os certificados de usuário da solução são usados para autenticação com vCenter Single Sign-On. vCenter Single Sign-On verifica se o certificado é válido, mas não verifica outros atributos de certificado.

Os seguintes repositórios de certificados do usuário da solução estão incluídos no VECS:

  • machine: usado pelo servidor de licença e pelo serviço de log.
    Observação: O certificado de usuário da solução da máquina não tem nada a ver com o certificado SSL da máquina. O certificado de usuário da solução de máquina é usado para a troca de token SAML. O certificado SSL da máquina é usado para conexões SSL seguras para uma máquina.
  • vpxd: vCenter repositório do daemon de serviço (vpxd). O vpxd usa o certificado de usuário da solução que está armazenado nesse repositório para autenticar para vCenter Single Sign-On.
  • vpxd-extension: vCenter repositório de extensões. Inclui o serviço de Implantação automática, o serviço de inventário e outros serviços que não fazem parte de outros usuários da solução.
  • vsphere-webclient: vSphere Client loja. Também inclui alguns serviços adicionais, como o serviço de gráfico de desempenho.
  • wcp: VMware vSphere® com armazenamento de VMware Tanzu™.

Cada nó vCenter Server inclui um certificado machine.

Armazenamento raiz confiável (TRUSTED_ROOTS) Contém todos os certificados raiz confiáveis.
vSphere Certificate Manager Armazenamento de backup do utilitário (BACKUP_STORE) Usado pelo VMCA (VMware Certificate Manager) para oferecer suporte à reversão de certificado. Somente o estado mais recente é armazenado como backup; você não pode voltar mais de uma etapa.
Outras lojas Outros repositórios podem ser adicionados por soluções. Por exemplo, a solução Volumes Virtuais adiciona um repositório de SMS. Não modifique os certificados nesses repositórios, a menos que a documentação do VMware ou um artigo da Base de conhecimento do VMware o instrua a fazê-lo.
Observação: A exclusão do repositório TRUSTED_ROOTS_CRLS pode danificar sua infraestrutura de certificados. Não exclua nem modifique o repositório TRUSTED_ROOTS_CRLS.
Exemplo:
vecs-cli store list

Permissões de armazenamento do vecs-cli

Concede ou revoga permissões para o repositório. Use a opção --grant ou --revoke.

O proprietário do repositório pode realizar todas as operações, incluindo conceder e revogar permissões. O administrador do domínio vCenter Single Sign-On local, [email protected] por padrão, tem todos os privilégios em todos os armazenamentos, incluindo a concessão e a revogação de permissões.

Você pode usar vecs-cli get-permissions --name <store-name> para recuperar as configurações atuais da loja.

Opção Descrição
--name <name> Nome do repositório de certificados.
--user <username> Nome exclusivo do usuário que recebe permissões.
--grant [read|write] Permissão para conceder, leitura ou gravação.
--revoke [read|write] Permissão para revogar, leitura ou gravação. Não há suporte no momento.

vecs-cli store get-permissions

Recupera as configurações de permissão atuais para o repositório.

Opção Descrição
--name <name> Nome do repositório de certificados.

--server <server-name>

Usado para especificar um nome de servidor se você se conectar a uma instância remota do VECS.

--upn <user-name>

User Principle Nome que é usado para fazer login na instância do servidor especificada por --server <server-name> . Quando você cria um repositório, ele é criado no contexto do usuário atual. Portanto, o proprietário do repositório é o contexto do usuário atual e nem sempre o usuário raiz.

entrada vecs-cli criar

Cria uma entrada no VECS. Use esse comando para adicionar uma chave privada ou um certificado a um repositório.

Observação: Não use esse comando para adicionar certificados raiz ao repositório TRUSTED_ROOTS. Em vez disso, use o comando dir-cli para publicar certificados raiz.
Opção Descrição

--store <NameOfStore>

Nome do repositório de certificados.

--alias <Alias> Alias opcional para o certificado. Essa opção é ignorada para o repositório raiz confiável.
--cert <certificate_file_path> Caminho completo do arquivo de certificado.
--key <key-file-path>

Caminho completo da chave que corresponde ao certificado.

Opcional.
--password <password> Senha opcional para criptografar a chave privada.

--server <server-name>

Usado para especificar um nome de servidor se você se conectar a uma instância remota do VECS.

--upn <user-name>

User Principle Nome que é usado para fazer login na instância do servidor especificada por --server <server-name> . Quando você cria um repositório, ele é criado no contexto do usuário atual. Portanto, o proprietário do repositório é o contexto do usuário atual e nem sempre o usuário raiz.

lista de entradas vecs-cli

Lista todas as entradas em um repositório especificado.

Opção Descrição
--store <NameOfStore>

Nome do repositório de certificados.

entrada vecs-cli getcert

Recupera um certificado do VECS. Você pode enviar o certificado para um arquivo de saída ou exibi-lo como texto legível.

Opção Descrição
--store <NameOfStore>

Nome do repositório de certificados.

--alias <Alias> Alias do certificado.
--output <output_file_path> Arquivo no qual gravar o certificado.
--text Exibe uma versão legível do certificado.

--server <server-name>

Usado para especificar um nome de servidor se você se conectar a uma instância remota do VECS.

--upn <user-name>

User Principle Nome que é usado para fazer login na instância do servidor especificada por --server <server-name> . Quando você cria um repositório, ele é criado no contexto do usuário atual. Portanto, o proprietário do repositório é o contexto do usuário atual e nem sempre o usuário raiz.

getkey de entrada vecs-cli

Recupera uma chave armazenada no VECS. Você pode enviar a chave para um arquivo de saída ou exibi-la como texto legível.

Opção Descrição
--store <NameOfStore>

Nome do repositório de certificados.

--alias <Alias> Alias para a chave.
--output <output_file_path> Arquivo de saída no qual gravar a chave.
--text Exibe uma versão legível da chave.

--server <server-name>

Usado para especificar um nome de servidor se você se conectar a uma instância remota do VECS.

--upn <user-name>

User Principle Nome que é usado para fazer login na instância do servidor especificada por --server <server-name> . Quando você cria um repositório, ele é criado no contexto do usuário atual. Portanto, o proprietário do repositório é o contexto do usuário atual e nem sempre o usuário raiz.

vecs-cli entry delete

Exclui uma entrada em um repositório de certificados. Se você excluir uma entrada no VECS, você a removerá permanentemente do VECS. A única exceção é o certificado raiz atual. O VECS pesquisa o vmdir em busca de um certificado raiz.

Opção Descrição
--store <NameOfStore>

Nome do repositório de certificados.

--alias <Alias> Alias para a entrada que você deseja excluir.

--server <server-name>

Usado para especificar um nome de servidor se você se conectar a uma instância remota do VECS.

--upn <user-name>

User Principle Nome que é usado para fazer login na instância do servidor especificada por --server <server-name> . Quando você cria um repositório, ele é criado no contexto do usuário atual. Portanto, o proprietário do repositório é o contexto do usuário atual e nem sempre o usuário raiz.

-y Suprime o prompt de confirmação. Somente para usuários avançados.

vecs-cli force-refresh

Força uma atualização do VECS. Por padrão, o VECS pesquisa o vmdir em busca de novos arquivos de certificado raiz a cada 5 minutos. Use esse comando para uma atualização imediata do VECS do vmdir.

Opção Descrição

--server <server-name>

Usado para especificar um nome de servidor se você se conectar a uma instância remota do VECS.

--upn <user-name>

User Principle Nome que é usado para fazer login na instância do servidor especificada por --server <server-name> . Quando você cria um repositório, ele é criado no contexto do usuário atual. Portanto, o proprietário do repositório é o contexto do usuário atual e nem sempre o usuário raiz.