对于大多数 vCenter 证书管理操作,您必须是 vsphere.local 域中的 CAAdmins 组的成员。administrator@vsphere.local 用户位于 CAAdmins 组中。某些操作可供所有用户执行。

如果运行 vCenter 证书管理器实用程序,系统会提示您输入 administrator@vsphere.local 的密码。如果手动替换证书,则不同的证书管理 CLI 的不同选项需要不同的特权。

dir-cli

您必须是 vsphere.local 域中的 CAAdmins 组的成员。每次运行 dir-cli 命令时,系统均会提示您输入用户名和密码。

vecs-cli

最初,仅存储所有者有权访问存储。存储所有者在 Windows 系统中是管理员用户,在 Linux 系统中是 root 用户。存储所有者可以提供对其他用户的访问权限。

MACHINE_SSL_CERT 和 TRUSTED_ROOTS 存储属于特殊存储。仅有 root 用户或管理员用户(取决于安装的类型)拥有完整的访问权限。

certool

大多数 certool 命令需要该用户是 CAAdmins 组的成员。administrator@vsphere.local 用户位于 CAAdmins 组中。所有用户可以运行以下命令:

  • genselfcacert

  • initscr

  • getdc

  • waitVMDIR

  • waitVMCA

  • genkey

  • viewcert

对于 ESXi 主机的证书管理,您必须具有 证书 > 管理证书 特权。可以从 vSphere Web Client 中设置该特权。