O conjunto de comandos vecs-cli permite gerenciar instâncias do VMware Certificate Store (VECS). Use esses comandos junto com dir-cli e certool para gerenciar sua infraestrutura de certificados e serviços de autenticação.
vecs-cli store create
Cria um repositório de certificados.
Opção | Descrição |
---|---|
--name <name> | Nome do repositório de certificados. |
--server <server-name> |
Usado para especificar um nome de servidor se você se conectar a uma instância remota do VECS. |
--upn <user-name> |
User Principle Nome que é usado para fazer login na instância do servidor especificada por --server <server-name> . Quando você cria um repositório, ele é criado no contexto do usuário atual. Portanto, o proprietário do repositório é o contexto do usuário atual e nem sempre o usuário raiz. |
vecs-cli store create --name <store>
vecs-cli store delete
Exclui um repositório de certificados. Não é possível excluir os armazenamentos do sistema MACHINE_SSL_CERT, TRUSTED_ROOTS e TRUSTED_ROOT_CRLS. Os usuários com os privilégios necessários podem excluir repositórios de usuários da solução.
Opção | Descrição |
---|---|
--name <name> | Nome do repositório de certificados a ser excluído. |
--server <server-name> |
Usado para especificar um nome de servidor se você se conectar a uma instância remota do VECS. |
--upn <user-name> |
User Principle Nome que é usado para fazer login na instância do servidor especificada por --server <server-name> . Quando você cria um repositório, ele é criado no contexto do usuário atual. Portanto, o proprietário do repositório é o contexto do usuário atual e nem sempre o usuário raiz. |
vecs-cli store delete --name <store>
lista de armazenamento vecs-cli
Listar repositórios de certificados.
Opção | Descrição |
---|---|
--server <server-name> |
Usado para especificar um nome de servidor se você se conectar a uma instância remota do VECS. |
--upn <user-name> |
User Principle Nome que é usado para fazer login na instância do servidor especificada por --server <server-name> . Quando você cria um repositório, ele é criado no contexto do usuário atual. Portanto, o proprietário do repositório é o contexto do usuário atual e nem sempre o usuário raiz. |
Loja | Descrição |
---|---|
Armazenamento SSL da máquina (MACHINE_SSL_CERT) |
Todos os serviços no vSphere 6.0 e versões posteriores se comunicam por meio de um proxy reverso, que usa o certificado SSL da máquina. Para fins de compatibilidade com versões anteriores, os serviços do 5.x ainda usam portas específicas. Como resultado, alguns serviços, como o vpxd, ainda têm sua própria porta aberta. |
Armazenamentos do usuário da solução
|
O VECS inclui um repositório para cada usuário da solução. O assunto de cada certificado de usuário da solução deve ser exclusivo, por exemplo, o certificado da máquina não pode ter o mesmo assunto que o certificado vpxd. Os certificados de usuário da solução são usados para autenticação com vCenter Single Sign-On. vCenter Single Sign-On verifica se o certificado é válido, mas não verifica outros atributos de certificado. Os seguintes repositórios de certificados do usuário da solução estão incluídos no VECS:
Cada nó vCenter Server inclui um certificado |
Armazenamento raiz confiável (TRUSTED_ROOTS) | Contém todos os certificados raiz confiáveis. |
vSphere Certificate Manager Armazenamento de backup do utilitário (BACKUP_STORE) | Usado pelo VMCA (VMware Certificate Manager) para oferecer suporte à reversão de certificado. Somente o estado mais recente é armazenado como backup; você não pode voltar mais de uma etapa. |
Outras lojas | Outros repositórios podem ser adicionados por soluções. Por exemplo, a solução Volumes Virtuais adiciona um repositório de SMS. Não modifique os certificados nesses repositórios, a menos que a documentação do VMware ou um artigo da Base de conhecimento do VMware o instrua a fazê-lo.
Observação: A exclusão do repositório TRUSTED_ROOTS_CRLS pode danificar sua infraestrutura de certificados. Não exclua nem modifique o repositório TRUSTED_ROOTS_CRLS.
|
vecs-cli store list
Permissões de armazenamento do vecs-cli
Concede ou revoga permissões para o repositório. Use a opção --grant ou --revoke.
O proprietário do repositório pode realizar todas as operações, incluindo conceder e revogar permissões. O administrador do domínio vCenter Single Sign-On local, [email protected] por padrão, tem todos os privilégios em todos os armazenamentos, incluindo a concessão e a revogação de permissões.
Você pode usar vecs-cli get-permissions --name <store-name> para recuperar as configurações atuais da loja.
Opção | Descrição |
---|---|
--name <name> | Nome do repositório de certificados. |
--user <username> | Nome exclusivo do usuário que recebe permissões. |
--grant [read|write] | Permissão para conceder, leitura ou gravação. |
--revoke [read|write] | Permissão para revogar, leitura ou gravação. Não há suporte no momento. |
vecs-cli store get-permissions
Recupera as configurações de permissão atuais para o repositório.
Opção | Descrição |
---|---|
--name <name> | Nome do repositório de certificados. |
--server <server-name> |
Usado para especificar um nome de servidor se você se conectar a uma instância remota do VECS. |
--upn <user-name> |
User Principle Nome que é usado para fazer login na instância do servidor especificada por --server <server-name> . Quando você cria um repositório, ele é criado no contexto do usuário atual. Portanto, o proprietário do repositório é o contexto do usuário atual e nem sempre o usuário raiz. |
entrada vecs-cli criar
Cria uma entrada no VECS. Use esse comando para adicionar uma chave privada ou um certificado a um repositório.
Opção | Descrição |
---|---|
--store <NameOfStore> |
Nome do repositório de certificados. |
--alias <Alias> | Alias opcional para o certificado. Essa opção é ignorada para o repositório raiz confiável. |
--cert <certificate_file_path> | Caminho completo do arquivo de certificado. |
--key <key-file-path> | Caminho completo da chave que corresponde ao certificado. Opcional. |
--password <password> | Senha opcional para criptografar a chave privada. |
--server <server-name> |
Usado para especificar um nome de servidor se você se conectar a uma instância remota do VECS. |
--upn <user-name> |
User Principle Nome que é usado para fazer login na instância do servidor especificada por --server <server-name> . Quando você cria um repositório, ele é criado no contexto do usuário atual. Portanto, o proprietário do repositório é o contexto do usuário atual e nem sempre o usuário raiz. |
lista de entradas vecs-cli
Lista todas as entradas em um repositório especificado.
Opção | Descrição |
---|---|
--store <NameOfStore> | Nome do repositório de certificados. |
entrada vecs-cli getcert
Recupera um certificado do VECS. Você pode enviar o certificado para um arquivo de saída ou exibi-lo como texto legível.
Opção | Descrição |
---|---|
--store <NameOfStore> | Nome do repositório de certificados. |
--alias <Alias> | Alias do certificado. |
--output <output_file_path> | Arquivo no qual gravar o certificado. |
--text | Exibe uma versão legível do certificado. |
--server <server-name> |
Usado para especificar um nome de servidor se você se conectar a uma instância remota do VECS. |
--upn <user-name> |
User Principle Nome que é usado para fazer login na instância do servidor especificada por --server <server-name> . Quando você cria um repositório, ele é criado no contexto do usuário atual. Portanto, o proprietário do repositório é o contexto do usuário atual e nem sempre o usuário raiz. |
getkey de entrada vecs-cli
Recupera uma chave armazenada no VECS. Você pode enviar a chave para um arquivo de saída ou exibi-la como texto legível.
Opção | Descrição |
---|---|
--store <NameOfStore> | Nome do repositório de certificados. |
--alias <Alias> | Alias para a chave. |
--output <output_file_path> | Arquivo de saída no qual gravar a chave. |
--text | Exibe uma versão legível da chave. |
--server <server-name> |
Usado para especificar um nome de servidor se você se conectar a uma instância remota do VECS. |
--upn <user-name> |
User Principle Nome que é usado para fazer login na instância do servidor especificada por --server <server-name> . Quando você cria um repositório, ele é criado no contexto do usuário atual. Portanto, o proprietário do repositório é o contexto do usuário atual e nem sempre o usuário raiz. |
vecs-cli entry delete
Exclui uma entrada em um repositório de certificados. Se você excluir uma entrada no VECS, você a removerá permanentemente do VECS. A única exceção é o certificado raiz atual. O VECS pesquisa o vmdir em busca de um certificado raiz.
Opção | Descrição |
---|---|
--store <NameOfStore> | Nome do repositório de certificados. |
--alias <Alias> | Alias para a entrada que você deseja excluir. |
--server <server-name> |
Usado para especificar um nome de servidor se você se conectar a uma instância remota do VECS. |
--upn <user-name> |
User Principle Nome que é usado para fazer login na instância do servidor especificada por --server <server-name> . Quando você cria um repositório, ele é criado no contexto do usuário atual. Portanto, o proprietário do repositório é o contexto do usuário atual e nem sempre o usuário raiz. |
-y | Suprime o prompt de confirmação. Somente para usuários avançados. |
vecs-cli force-refresh
Força uma atualização do VECS. Por padrão, o VECS pesquisa o vmdir em busca de novos arquivos de certificado raiz a cada 5 minutos. Use esse comando para uma atualização imediata do VECS do vmdir.
Opção | Descrição |
---|---|
--server <server-name> |
Usado para especificar um nome de servidor se você se conectar a uma instância remota do VECS. |
--upn <user-name> |
User Principle Nome que é usado para fazer login na instância do servidor especificada por --server <server-name> . Quando você cria um repositório, ele é criado no contexto do usuário atual. Portanto, o proprietário do repositório é o contexto do usuário atual e nem sempre o usuário raiz. |