Für die meisten vCenter-Zertifikatsverwaltungsvorgänge müssen Sie Mitglied der Gruppe „CAAdmins“ in der Domäne „vsphere.local“ sein. Der Benutzer „administrator@vsphere.local“ gehört der Gruppe „CAAdmins“ an. Manche Vorgänge sind für alle Benutzer zulässig.

Bei Ausführung des Dienstprogramms vCenter Certificate Manager werden Sie zur Eingabe des Kennworts von „administrator@vsphere.local“ aufgefordert. Wenn Sie Zertifikate manuell ersetzen, erfordern die verschiedenen Optionen für die verschiedenen Zertifikatsverwaltungs-CLIs unterschiedliche Rechte.

dir-cli

Sie müssen ein Mitglied der Gruppe „CAAdmins“ in der Domäne „vsphere.local“ sein. Sie werden bei jeder Ausführung eines dir-cli-Befehls zur Eingabe eines Benutzernamens und Kennworts aufgefordert.

vecs-cli

Zunächst hat nur der Inhaber eines Speichers Zugriff auf den Speicher. Der Inhaber des Speichers ist der Administratorbenutzer auf Windows-Systemen bzw. der Rootbenutzer auf Linux-Systemen. Der Inhaber des Speichers kann anderen Benutzern den Zugriff ermöglichen.

Bei den Speichern MACHINE_SSL_CERT und TRUSTED_ROOTS handelt es sich um spezielle Speicher. In Abhängigkeit vom Installationstyp hat nur der Rootbenutzer oder Administratorbenutzer vollständigen Zugriff.

certool

Für die meisten certool-Befehle muss der Benutzer der Gruppe „CAAdmins“ angehören. Der Benutzer „administrator@vsphere.local“ gehört der Gruppe „CAAdmins“ an. Alle Benutzer können die folgenden Befehle ausführen:

  • genselfcacert

  • initscr

  • getdc

  • waitVMDIR

  • waitVMCA

  • genkey

  • viewcert

Die Zertifikatsverwaltung für ESXi-Hosts erfordert das Recht Zertifikate > Zertifikate verwalten. Dieses Recht können Sie über den vSphere Web Client festlegen.