Mit dem Befehlssatz vecs-cli können Sie die Instanzen des VMware-Zertifikatspeichers (VMware Certificate Store, VECS) verwalten. Verwenden Sie diese Befehle zusammen mit dir-cli und certool, um Ihre Zertifikatinfrastruktur zu verwalten.

vecs-cli store create

Erstellt einen Zertifikatspeicher.

Option

Beschreibung

--name <name>

Der Name des Zertifikatspeichers.

Beispiel:

vecs-cli store create --name <store>

vecs-cli store delete

Löscht einen Zertifikatspeicher. Vom System vordefinierte Zertifikatspeicher können nicht gelöscht werden.

Option

Beschreibung

--name <name>

Name des zu löschenden Zertifikatspeichers.

Beispiel:

vecs-cli store delete --name <store>

vecs-cli store list

Listet Zertifikatspeicher auf.

VECS enthält die folgenden Speicher.

Tabelle 1. Speicher in VECS

Speicher

Beschreibung

Maschinen-SSL-Speicher (MACHINE_SSL_CERT)

  • Wird vom Reverse-Proxy-Dienst auf jedem vSphere-Knoten verwendet.

  • Wird vom VMware-Verzeichnisdienst (vmdir) für eingebettete Bereitstellungen und für jeden Platform Services Controller-Knoten verwendet.

Alle Dienste in vSphere 6.0 kommunizieren über einen Reverse-Proxy, der das Maschinen-SSL-Zertifikat verwendet. Aus Gründen der Abwärtskompatibilität verwenden die 5.x-Dienste weiterhin bestimmte Ports. Deshalb ist für bestimmte Dienste wie etwa vpxd ein eigener Port geöffnet.

Vertrauenswürdiger Stammspeicher (TRUSTED_ROOTS)

Enthält alle vertrauenswürdigen Stammzertifikate.

Lösungsbenutzerspeicher

  • Maschine

  • vpxd

  • vpxd-extensions

  • vsphere-webclient

VECS enthält einen Speicher für jeden Lösungsbenutzer. Das Objekt jedes Lösungsbenutzerzertifikats muss eindeutig sein. So darf z. B. das Maschinenzertifikat nicht das gleiche Objekt wie das vpxd-Zertifikat haben.

Lösungsbenutzerzertifikate werden für die Authentifizierung mit vCenter Single Sign On verwendet. vCenter Single Sign On überprüft, ob das Zertifikat gültig ist. Andere Zertifikatsattribute werden jedoch nicht überprüft. Bei einer eingebetteten Bereitstellung befinden sich alle Lösungsbenutzerzertifikate im selben System.

Die folgenden Lösungsbenutzer-Zertifikatspeicher sind in VECS für jeden Verwaltungsknoten und für jede eingebettete Bereitstellung enthalten:

  • machine: Wird vom Komponentenmanager, Lizenzserver und Protokollierungsdienst verwendet.

    Anmerkung:

    Das Lösungsbenutzerzertifikat „machine“ hat nichts mit dem SSL-Zertifikat „machine“ zu tun. Das Lösungsbenutzerzertifikat „machine“ wird für den Austausch von SAML-Tokens verwendet; das SSL-Zertifikat „machine“ wird für sichere SSL-Verbindungen für eine Maschine verwendet.

  • vpxd: vCenter-Dienst-Daemon (vpxd)-Speicher für Verwaltungsknoten und eingebettete Bereitstellungen. vpxd verwendet das in diesem Speicher gespeicherte Lösungsbenutzerzertifikat für die Authentifizierung bei vCenter Single Sign On.

  • vpxd-extensions: vCenter-Erweiterungsspeicher. Enthält den Auto Deploy-Dienst, den Inventory Service und sonstige Dienste, die nicht Bestandteil anderer Lösungsbenutzer sind.

  • vsphere-webclient: vSphere Web Client-Speicher. Enthält auch zusätzliche Dienste wie etwa den Leistungsdiagrammdienst.

Der Maschinenspeicher ist ebenfalls in jedem Platform Services Controller-Knoten enthalten.

vSphere Certificate Manager Utility-Backup-Speicher (BACKUP_STORE)

Wird von VMCA (VMware Certificate Manager) für die Unterstützung der Zertifikatwiederherstellung verwendet. Nur der letzte Status wird als Backup gespeichert und Sie können nur den letzten Schritt rückgängig machen.

Weitere Speicher

Weitere Speicher können durch Lösungen hinzugefügt werden. Beispielsweise fügt die VVOL-Lösung einen SMS-Speicher hinzu. Ändern Sie die Zertifikate in diesen Speichern nur, wenn Sie in VMware-Dokumentation oder in einem VMware-Knowledgebase-Artikel dazu aufgefordert werden.

Anmerkung:

CRLS werden in vSphere 6.0 nicht unterstützt. Dennoch kann durch das Löschen des TRUSTED_ROOTS_CRLS-Speichers Ihre Zertifikatinfrastruktur beschädigt werden. Den TRUSTED_ROOTS_CRLS-Speicher sollten Sie weder löschen noch ändern.

Beispiel:

vecs-cli store list

vecs-cli store permissions

Erteilt oder widerruft die Berechtigungen für den Speicher. Verwenden Sie entweder die Option --grant (erteilen) oder die Option --revoke (widerrufen).

Der Besitzer des Speichers hat umfassende Kontrolle über seinen Speicher. Dazu gehört auch das Recht zum Erteilen und Widerrufen von Berechtigungen. Der Administrator besitzt Berechtigungen für alle Speicher, einschließlich des Rechts zum Erteilen und Widerrufen von Berechtigungen.

Mit vecs-cli get-permissions --name <store-name> können Sie die aktuellen Einstellungen des Speichers abrufen.

Option

Beschreibung

--name <name>

Der Name des Zertifikatspeichers.

--user <username>

Eindeutiger Name des Benutzers, dem Berechtigungen erteilt werden

--grant [read|write]

Berechtigung, die erteilt wird: read (Lesen) oder write (Schreiben)

--revoke [read|write]

Berechtigung, die widerrufen wird: read (Lesen) oder write (Schreiben). Wird derzeit nicht unterstützt.

vecs-cli entry create

Erstellen Sie einen Eintrag in VECS. Verwenden Sie diesen Befehl, um einen privaten Schlüssel in ein Zertifikat oder einen Speicher einzufügen.

Option

Beschreibung

--store <Zertifikatspeichername>

Der Name des Zertifikatspeichers.

--alias <Alias>

Der optionale Alias für das Zertifikat. Diese Option wird für den vertrauenswürdigen Stammzertifikatspeicher ignoriert.

--cert <Dateipfad_des_Zertifikats>

Der vollständige Pfad der Zertifikatsdatei.

--key <Dateipfad_des_Schlüssels>

Der vollständige Pfad des Schlüssels, der dem Zertifikat entspricht.

Optional.

vecs-cli entry list

Listet alle Einträge im angegebenen Speicher auf.

Option

Beschreibung

--store <Zertifikatspeichername>

Der Name des Zertifikatspeichers.

--text

Zeigt eine von Benutzern lesbare Version des Zertifikats an.

vecs-cli entry getcert

Ruft ein Zertifikat aus dem VECS ab. Sie können das Zertifikat an eine Ausgabedatei senden oder als von Benutzern lesbaren Text anzeigen.

Option

Beschreibung

--store <Zertifikatspeichername>

Der Name des Zertifikatspeichers.

--alias <Alias>

Alias des Zertifikats

--output <output_file_path>

Datei, in die das Zertifikat geschrieben wird.

--text

Zeigt eine von Benutzern lesbare Version des Zertifikats an.

vecs-cli entry getkey

Ruft einen im VECS gespeicherten Schlüssel ab. Sie können das Zertifikat an eine Ausgabedatei senden oder als von Benutzern lesbaren Text anzeigen.

Option

Beschreibung

--store <Zertifikatspeichername>

Der Name des Zertifikatspeichers.

--alias <Alias>

Alias des Schlüssels

--output <output_file_path>

Ausgabedatei, in die der Schlüssel geschrieben wird.

--text

Zeigt eine von Benutzern lesbare Version des Schlüssels an.

vecs-cli entry delete

Löscht einen Eintrag in einem Zertifikatspeicher. Wenn ein Eintrag aus dem VECS gelöscht wird, wird er dauerhaft aus dem VECS entfernt. Die einzige Ausnahme ist das aktuelle Stammzertifikat. VECS ruft ein Rootzertifikat aus vmdir ab.

Option

Beschreibung

--store <Zertifikatspeichername>

Der Name des Zertifikatspeichers.

--alias <Alias>

Alias des Eintrags, der gelöscht werden soll

vecs-cli force-refresh

Erzwingt die Aktualisierung von vecs-cli. Dabei wird vecs-cli aktualisiert, damit die aktuellsten Daten in vmdir genutzt werden. Standardmäßig sieht der VECS alle 5 Minuten im vmdir nach, ob ein neues Stammzertifikat vorliegt. Mit diesem Befehl wird der VECS sofort aus dem vmdir aktualisiert.