Você pode gerenciar certificados VMCA (VMware Certificate Authority), VECS (VMware Endpoint Certificate Store), VMware Directory Service (vmdir) e Security Token Service (STS) usando um conjunto de CLIs. O utilitário vSphere Certificate Manager também oferece suporte a muitas tarefas relacionadas, mas as CLIs são necessárias para o gerenciamento manual de certificados e para o gerenciamento de outros serviços.

Normalmente, você acessa as ferramentas da CLI para gerenciar certificados e serviços associados usando o SSH para se conectar ao shell do dispositivo. Consulte o artigo da base de conhecimento VMware em http://kb.vmware.com/kb/2100508 para obter mais informações.

Substituição de certificado manual vSphere apresenta exemplos de como substituir certificados usando comandos da CLI.

Tabela 1. vSphere CLI Ferramentas para gerenciamento de certificados e serviços associados
CLI Descrição Ver
certool Gere e gerencie certificados e chaves. Parte do VMCAD, o serviço de Gerenciamento de Certificados VMware.

Referência de comandos de inicialização certool

vecs-cli Gerencie o conteúdo de VMware instâncias do repositório de certificados. Parte do VMware Authentication Framework Daemon (VMAFD). Referência do comando vecs-cli
dir-cli Crie e atualize certificados no Serviço de Diretório VMware. Parte do VMAFD. Referência de comando dir-cli
sso-config.sh Gerenciar certificados STS. Ajuda da linha de comando. Digitar sso-config.sh sem opções exibe a ajuda da linha de comando.
service-control Inicie ou interrompa serviços, por exemplo, como parte de um fluxo de trabalho de substituição de certificado.

Execute este comando para interromper os serviços antes de executar outros comandos da CLI.

vSphere CLI Locais

Por padrão, você encontra as CLIs nos seguintes locais. 

/usr/lib/vmware-vmafd/bin/vecs-cli
/usr/lib/vmware-vmafd/bin/dir-cli
/usr/lib/vmware-vmca/bin/certool
/opt/vmware/bin/sso-config.sh
Observação: O comando service-control não requer que você especifique o caminho.

Privilégios necessários para executar vSphere CLIs

Os privilégios necessários dependem da CLI que você está usando e do comando que você deseja executar. Por exemplo, para a maioria das operações de gerenciamento de certificados, você precisa ser um administrador do domínio vCenter Single Sign-On local (vsphere.local por padrão). Alguns comandos estão disponíveis para todos os usuários.

dir-cli
Você deve ser membro do grupo Administradores no domínio local (vsphere.local por padrão) para executar comandos dir-cli. Se você não especificar um nome de usuário e uma senha, será solicitada a senha do administrador do domínio vCenter Single Sign-On local, [email protected] por padrão.
vecs-cli
Inicialmente, apenas o proprietário da loja e os usuários com privilégios de acesso geral têm acesso a uma loja. Os usuários do grupo Administradores têm privilégios de acesso geral.
Os armazenamentos MACHINE_SSL_CERT e TRUSTED_ROOTS são armazenamentos especiais. Somente o usuário root ou o usuário administrador, dependendo do tipo de instalação, tem acesso completo.
certool
A maioria dos comandos certool requer que o usuário esteja no grupo Administradores. Todos os usuários podem executar os seguintes comandos.
  • genselfcacert
  • initscr
  • getdc
  • waitVMDIR
  • waitVMCA
  • genkey
  • viewcert

Alterando as opções de configuração do certool

Quando você executa certool --gencert ou alguns outros comandos de inicialização ou gerenciamento de certificado, o comando lê todos os valores de um arquivo de configuração. Você pode editar o arquivo existente, substituir o arquivo de configuração padrão pela opção -–config=<file name> ou substituir valores na linha de comando.

O arquivo de configuração, certool.cfg, está localizado no diretório /usr/lib/vmware-vmca/share/config/ por padrão.

O arquivo tem vários campos com os seguintes valores padrão: 

Country = US
Name= Acme
Organization = AcmeOrg
OrgUnit = AcmeOrg Engineering
State = California 
Locality = Palo Alto
IPAddress = 127.0.0.1	
Email = [email protected]
Hostname = server.acme.com
Observação: O campo UO (organizationalUnitName) não é mais obrigatório.
Você pode alterar os valores especificando um arquivo modificado na linha de comando ou substituindo valores individuais na linha de comando, da seguinte maneira.
  • Crie uma cópia do arquivo de configuração e edite o arquivo. Use a opção de linha de comando --config para especificar o arquivo. Especifique o caminho completo para evitar problemas de nome de caminho. 
  • /usr/lib/vmware-vmca/bin/certool -–gencert --config /tmp/myconfig.cfg
  • Substitua valores individuais na linha de comando. Por exemplo, para substituir a localidade, execute este comando: 
    /usr/lib/vmware-vmca/bin/certool -–gencert -–privkey=private.key –-Locality="Mountain View"
Especifique --Name para substituir o campo CN do nome da entidade do certificado.
  • Para certificados de usuário da solução, o nome é <sol_user name>@<domain> por convenção, mas você poderá alterar o nome se uma convenção diferente for usada em seu ambiente.
  • Para certificados SSL de máquina, o FQDN da máquina é usado.

    A VMCA permite apenas um DNSName (no campo Hostname) e nenhuma outra opção de Alias. Se o endereço IP for especificado pelo usuário, ele também será armazenado em SubAltName.

Use o parâmetro --Hostname para especificar o DNSName do SubAltName de um certificado.