Mit dem Befehlssatz vecs-cli können Sie die Instanzen des VMware-Zertifikatspeichers (VMware Certificate Store, VECS) verwalten. Verwenden Sie diese Befehle zusammen mit dir-cli und certool, um Ihre Zertifikatinfrastruktur und andere Platform Services Controller-Dienste zu verwalten.
vecs-cli store create
Erstellt einen Zertifikatspeicher.
Option | Beschreibung |
---|---|
--name <name> | Der Name des Zertifikatspeichers. |
--server <server-name> |
Wird verwendet, um einen Servernamen anzugeben, wenn Sie eine Verbindung zu einer VECS-Remote-Instanz herstellen. |
--upn <user-name> |
Benutzerprinzipalname, der zur Anmeldung bei der durch --server <server-name> angegebenen Serverinstanz verwendet wird. Wenn Sie einen Speicher erstellen, wird dieser im Kontext des aktuellen Benutzers erstellt. Daher ist der Besitzer des Speichers der aktuelle Benutzerkontext und nicht immer der Root-Benutzer. |
vecs-cli store create --name <store>
vecs-cli store delete
Löscht einen Zertifikatspeicher. Die Systemspeicher MACHINE_SSL_CERT, TRUSTED_ROOTS und TRUSTED_ROOT_CRLS können nicht gelöscht werden. Benutzer mit den erforderlichen Rechten können Lösungsbenutzerspeicher löschen.
Option | Beschreibung |
---|---|
--name <name> | Name des zu löschenden Zertifikatspeichers. |
--server <server-name> |
Wird verwendet, um einen Servernamen anzugeben, wenn Sie eine Verbindung zu einer VECS-Remote-Instanz herstellen. |
--upn <user-name> |
Benutzerprinzipalname, der zur Anmeldung bei der durch --server <server-name> angegebenen Serverinstanz verwendet wird. Wenn Sie einen Speicher erstellen, wird dieser im Kontext des aktuellen Benutzers erstellt. Daher ist der Besitzer des Speichers der aktuelle Benutzerkontext und nicht immer der Root-Benutzer. |
vecs-cli store delete --name <store>
vecs-cli store list
Listet Zertifikatspeicher auf.
Option | Beschreibung |
---|---|
--server <server-name> |
Wird verwendet, um einen Servernamen anzugeben, wenn Sie eine Verbindung zu einer VECS-Remote-Instanz herstellen. |
--upn <user-name> |
Benutzerprinzipalname, der zur Anmeldung bei der durch --server <server-name> angegebenen Serverinstanz verwendet wird. Wenn Sie einen Speicher erstellen, wird dieser im Kontext des aktuellen Benutzers erstellt. Daher ist der Besitzer des Speichers der aktuelle Benutzerkontext und nicht immer der Root-Benutzer. |
Speicher | Beschreibung |
---|---|
Maschinen-SSL-Speicher (MACHINE_SSL_CERT) |
Alle Dienste in vSphere 6.0 und höher kommunizieren über einen Reverse-Proxy, der das Maschinen-SSL-Zertifikat verwendet. Aus Gründen der Abwärtskompatibilität verwenden die 5.x-Dienste weiterhin bestimmte Ports. Deshalb ist für bestimmte Dienste wie etwa vpxd ein eigener Port geöffnet. |
Vertrauenswürdiger Stammspeicher (TRUSTED_ROOTS) | Enthält alle vertrauenswürdigen Stammzertifikate. |
Lösungsbenutzerspeicher
|
VECS enthält einen Speicher für jeden Lösungsbenutzer. Das Objekt jedes Lösungsbenutzerzertifikats muss eindeutig sein. So darf z. B. das Maschinenzertifikat nicht das gleiche Objekt wie das vpxd-Zertifikat haben. Lösungsbenutzerzertifikate werden für die Authentifizierung mit vCenter Single Sign On verwendet. vCenter Single Sign On überprüft, ob das Zertifikat gültig ist. Andere Zertifikatattribute werden jedoch nicht überprüft. Bei einer eingebetteten Bereitstellung befinden sich alle Lösungsbenutzerzertifikate im selben System. Die folgenden Lösungsbenutzer-Zertifikatspeicher sind in VECS für jeden Verwaltungsknoten und für jede eingebettete Bereitstellung enthalten:
Jeder Platform Services Controller-Knoten enthält ein |
vSphere Certificate Manager Utility-Backup-Speicher (BACKUP_STORE) | Wird von VMCA (VMware Certificate Manager) für die Unterstützung der Zertifikatwiederherstellung verwendet. Nur der letzte Status wird als Backup gespeichert und Sie können nur den letzten Schritt rückgängig machen. |
Weitere Speicher | Weitere Speicher können durch Lösungen hinzugefügt werden. Beispielsweise fügt die Virtual Volumes-Lösung einen SMS-Speicher hinzu. Ändern Sie die Zertifikate in diesen Speichern nur, wenn Sie in der VMware-Dokumentation oder in einem VMware-Knowledgebase-Artikel dazu aufgefordert werden.
Hinweis: Durch das Löschen des Speichers TRUSTED_ROOTS_CRLS kann die Zertifikatinfrastruktur beschädigt werden. Den TRUSTED_ROOTS_CRLS-Speicher sollten Sie weder löschen noch ändern.
|
vecs-cli store list
vecs-cli store permissions
Erteilt oder widerruft die Berechtigungen für den Speicher. Verwenden Sie entweder die Option --grant (erteilen) oder die Option --revoke (widerrufen).
Der Besitzer des Speichers kann alle Vorgänge ausführen. Dazu gehört auch das Recht zum Erteilen und Widerrufen von Berechtigungen. Der Administrator der lokalen vCenter Single Sign-On-Domäne (standardmäßig „[email protected]“) verfügt über Rechte für alle Speicher. Dazu gehört auch das Recht zum Erteilen und Widerrufen von Berechtigungen.
Mit vecs-cli get-permissions --name <store-name> können Sie die aktuellen Einstellungen des Speichers abrufen.
Option | Beschreibung |
---|---|
--name <name> | Der Name des Zertifikatspeichers. |
--user <username> | Eindeutiger Name des Benutzers, dem Berechtigungen erteilt werden |
--grant [read|write] | Berechtigung, die erteilt wird: read (Lesen) oder write (Schreiben) |
--revoke [read|write] | Berechtigung, die widerrufen wird: read (Lesen) oder write (Schreiben). Wird derzeit nicht unterstützt. |
vecs-cli store get-permissions
Ruft die aktuellen Berechtigungseinstellungen für den Speicher ab.
Option | Beschreibung |
---|---|
--name <name> | Der Name des Zertifikatspeichers. |
--server <server-name> |
Wird verwendet, um einen Servernamen anzugeben, wenn Sie eine Verbindung zu einer VECS-Remote-Instanz herstellen. |
--upn <user-name> |
Benutzerprinzipalname, der zur Anmeldung bei der durch --server <server-name> angegebenen Serverinstanz verwendet wird. Wenn Sie einen Speicher erstellen, wird dieser im Kontext des aktuellen Benutzers erstellt. Daher ist der Besitzer des Speichers der aktuelle Benutzerkontext und nicht immer der Root-Benutzer. |
vecs-cli entry create
Erstellt einen Eintrag in VECS. Verwenden Sie diesen Befehl, um einen privaten Schlüssel in ein Zertifikat oder einen Speicher einzufügen.
Option | Beschreibung |
---|---|
--store <NameOfStore> |
Der Name des Zertifikatspeichers. |
--alias <Alias> | Der optionale Alias für das Zertifikat. Diese Option wird für den vertrauenswürdigen Stammzertifikatspeicher ignoriert. |
--cert <certificate_file_path> | Der vollständige Pfad der Zertifikatsdatei. |
--key <key-file-path> | Der vollständige Pfad des Schlüssels, der dem Zertifikat entspricht. Optional. |
--password <password> | Optionales Kennwort für die Verschlüsselung des privaten Schlüssels. |
--server <server-name> |
Wird verwendet, um einen Servernamen anzugeben, wenn Sie eine Verbindung zu einer VECS-Remote-Instanz herstellen. |
--upn <user-name> |
Benutzerprinzipalname, der zur Anmeldung bei der durch --server <server-name> angegebenen Serverinstanz verwendet wird. Wenn Sie einen Speicher erstellen, wird dieser im Kontext des aktuellen Benutzers erstellt. Daher ist der Besitzer des Speichers der aktuelle Benutzerkontext und nicht immer der Root-Benutzer. |
vecs-cli entry list
Listet alle Einträge in einem angegebenen Speicher auf.
Option | Beschreibung |
---|---|
--store <NameOfStore> | Der Name des Zertifikatspeichers. |
vecs-cli entry getcert
Ruft ein Zertifikat aus dem VECS ab. Sie können das Zertifikat an eine Ausgabedatei senden oder als von Benutzern lesbaren Text anzeigen.
Option | Beschreibung |
---|---|
--store <NameOfStore> | Der Name des Zertifikatspeichers. |
--alias <Alias> | Alias des Zertifikats |
--output <output_file_path> | Datei, in die das Zertifikat geschrieben wird. |
--text | Zeigt eine von Benutzern lesbare Version des Zertifikats an. |
--server <server-name> |
Wird verwendet, um einen Servernamen anzugeben, wenn Sie eine Verbindung zu einer VECS-Remote-Instanz herstellen. |
--upn <user-name> |
Benutzerprinzipalname, der zur Anmeldung bei der durch --server <server-name> angegebenen Serverinstanz verwendet wird. Wenn Sie einen Speicher erstellen, wird dieser im Kontext des aktuellen Benutzers erstellt. Daher ist der Besitzer des Speichers der aktuelle Benutzerkontext und nicht immer der Root-Benutzer. |
vecs-cli entry getkey
Ruft einen im VECS gespeicherten Schlüssel ab. Sie können den Schlüssel an eine Ausgabedatei senden oder als von Benutzern lesbaren Text anzeigen.
Option | Beschreibung |
---|---|
--store <NameOfStore> | Der Name des Zertifikatspeichers. |
--alias <Alias> | Alias des Schlüssels |
--output <output_file_path> | Ausgabedatei, in die der Schlüssel geschrieben wird. |
--text | Zeigt eine von Benutzern lesbare Version des Schlüssels an. |
--server <server-name> |
Wird verwendet, um einen Servernamen anzugeben, wenn Sie eine Verbindung zu einer VECS-Remote-Instanz herstellen. |
--upn <user-name> |
Benutzerprinzipalname, der zur Anmeldung bei der durch --server <server-name> angegebenen Serverinstanz verwendet wird. Wenn Sie einen Speicher erstellen, wird dieser im Kontext des aktuellen Benutzers erstellt. Daher ist der Besitzer des Speichers der aktuelle Benutzerkontext und nicht immer der Root-Benutzer. |
vecs-cli entry delete
Löscht einen Eintrag in einem Zertifikatspeicher. Wenn ein Eintrag aus dem VECS gelöscht wird, wird er dauerhaft aus dem VECS entfernt. Die einzige Ausnahme ist das aktuelle Stammzertifikat. VECS ruft ein Rootzertifikat aus vmdir ab.
Option | Beschreibung |
---|---|
--store <NameOfStore> | Der Name des Zertifikatspeichers. |
--alias <Alias> | Alias des Eintrags, der gelöscht werden soll |
--server <server-name> |
Wird verwendet, um einen Servernamen anzugeben, wenn Sie eine Verbindung zu einer VECS-Remote-Instanz herstellen. |
--upn <user-name> |
Benutzerprinzipalname, der zur Anmeldung bei der durch --server <server-name> angegebenen Serverinstanz verwendet wird. Wenn Sie einen Speicher erstellen, wird dieser im Kontext des aktuellen Benutzers erstellt. Daher ist der Besitzer des Speichers der aktuelle Benutzerkontext und nicht immer der Root-Benutzer. |
-y | Unterdrückt die Bestätigungsaufforderung. Nur für fortgeschrittene Benutzer. |
vecs-cli force-refresh
Erzwingt die Aktualisierung von VECS. Standardmäßig sieht der VECS alle 5 Minuten im vmdir nach, ob ein neues Stammzertifikat vorliegt. Mit diesem Befehl wird der VECS sofort aus dem vmdir aktualisiert.
Option | Beschreibung |
---|---|
--server <server-name> |
Wird verwendet, um einen Servernamen anzugeben, wenn Sie eine Verbindung zu einer VECS-Remote-Instanz herstellen. |
--upn <user-name> |
Benutzerprinzipalname, der zur Anmeldung bei der durch --server <server-name> angegebenen Serverinstanz verwendet wird. Wenn Sie einen Speicher erstellen, wird dieser im Kontext des aktuellen Benutzers erstellt. Daher ist der Besitzer des Speichers der aktuelle Benutzerkontext und nicht immer der Root-Benutzer. |