Mit dem Befehlssatz vecs-cli können Sie die Instanzen des VMware-Zertifikatspeichers (VMware Certificate Store, VECS) verwalten. Verwenden Sie diese Befehle zusammen mit dir-cli und certool, um Ihre Zertifikatinfrastruktur und andere Platform Services Controller-Dienste zu verwalten.

vecs-cli store create

Erstellt einen Zertifikatspeicher.

Option Beschreibung
--name <name> Der Name des Zertifikatspeichers.

--server <server-name>

Wird verwendet, um einen Servernamen anzugeben, wenn Sie eine Verbindung zu einer VECS-Remote-Instanz herstellen.

--upn <user-name>

Benutzerprinzipalname, der zur Anmeldung bei der durch --server <server-name> angegebenen Serverinstanz verwendet wird. Wenn Sie einen Speicher erstellen, wird dieser im Kontext des aktuellen Benutzers erstellt. Daher ist der Besitzer des Speichers der aktuelle Benutzerkontext und nicht immer der Root-Benutzer.

Beispiel:
vecs-cli store create --name <store>

vecs-cli store delete

Löscht einen Zertifikatspeicher. Die Systemspeicher MACHINE_SSL_CERT, TRUSTED_ROOTS und TRUSTED_ROOT_CRLS können nicht gelöscht werden. Benutzer mit den erforderlichen Rechten können Lösungsbenutzerspeicher löschen.

Option Beschreibung
--name <name> Name des zu löschenden Zertifikatspeichers.

--server <server-name>

Wird verwendet, um einen Servernamen anzugeben, wenn Sie eine Verbindung zu einer VECS-Remote-Instanz herstellen.

--upn <user-name>

Benutzerprinzipalname, der zur Anmeldung bei der durch --server <server-name> angegebenen Serverinstanz verwendet wird. Wenn Sie einen Speicher erstellen, wird dieser im Kontext des aktuellen Benutzers erstellt. Daher ist der Besitzer des Speichers der aktuelle Benutzerkontext und nicht immer der Root-Benutzer.

Beispiel:
vecs-cli store delete --name <store>

vecs-cli store list

Listet Zertifikatspeicher auf.

Option Beschreibung

--server <server-name>

Wird verwendet, um einen Servernamen anzugeben, wenn Sie eine Verbindung zu einer VECS-Remote-Instanz herstellen.

--upn <user-name>

Benutzerprinzipalname, der zur Anmeldung bei der durch --server <server-name> angegebenen Serverinstanz verwendet wird. Wenn Sie einen Speicher erstellen, wird dieser im Kontext des aktuellen Benutzers erstellt. Daher ist der Besitzer des Speichers der aktuelle Benutzerkontext und nicht immer der Root-Benutzer.

VECS enthält die folgenden Speicher.
Tabelle 1. Speicher in VECS
Speicher Beschreibung
Maschinen-SSL-Speicher (MACHINE_SSL_CERT)
  • Wird vom Reverse-Proxy-Dienst auf jedem vSphere-Knoten verwendet.
  • Wird vom VMware Directory Service (vmdir) für eingebettete Bereitstellungen und für jeden Platform Services Controller-Knoten verwendet.

Alle Dienste in vSphere 6.0 und höher kommunizieren über einen Reverse-Proxy, der das Maschinen-SSL-Zertifikat verwendet. Aus Gründen der Abwärtskompatibilität verwenden die 5.x-Dienste weiterhin bestimmte Ports. Deshalb ist für bestimmte Dienste wie etwa vpxd ein eigener Port geöffnet.

Vertrauenswürdiger Stammspeicher (TRUSTED_ROOTS) Enthält alle vertrauenswürdigen Stammzertifikate.
Lösungsbenutzerspeicher
  • machine
  • vpxd
  • vpxd-extension
  • vsphere-webclient
VECS enthält einen Speicher für jeden Lösungsbenutzer. Das Objekt jedes Lösungsbenutzerzertifikats muss eindeutig sein. So darf z. B. das Maschinenzertifikat nicht das gleiche Objekt wie das vpxd-Zertifikat haben.

Lösungsbenutzerzertifikate werden für die Authentifizierung mit vCenter Single Sign On verwendet. vCenter Single Sign On überprüft, ob das Zertifikat gültig ist. Andere Zertifikatattribute werden jedoch nicht überprüft. Bei einer eingebetteten Bereitstellung befinden sich alle Lösungsbenutzerzertifikate im selben System.

Die folgenden Lösungsbenutzer-Zertifikatspeicher sind in VECS für jeden Verwaltungsknoten und für jede eingebettete Bereitstellung enthalten:

  • machine: Wird vom Lizenzserver und vom Protokollierungsdienst verwendet.
    Hinweis: Das Lösungsbenutzerzertifikat „machine“ hat nichts mit dem SSL-Zertifikat „machine“ zu tun. Das Lösungsbenutzerzertifikat „machine“ wird für den Austausch von SAML-Tokens verwendet. Das SSL-Zertifikat „machine“ wird für sichere SSL-Verbindungen für eine Maschine verwendet.
  • vpxd: vCenter-Dienst-Daemon (vpxd)-Speicher für Verwaltungsknoten und eingebettete Bereitstellungen. vpxd verwendet das in diesem Speicher gespeicherte Lösungsbenutzerzertifikat für die Authentifizierung bei vCenter Single Sign On.
  • vpxd-extension: vCenter-Erweiterungsspeicher. Enthält den Auto Deploy-Dienst, den Inventory Service und sonstige Dienste, die nicht Bestandteil anderer Lösungsbenutzer sind.
  • vsphere-webclient: vSphere Web Client-Speicher. Enthält auch zusätzliche Dienste wie etwa den Leistungsdiagrammdienst.

Jeder Platform Services Controller-Knoten enthält ein machine-Zertifikat.

vSphere Certificate Manager Utility-Backup-Speicher (BACKUP_STORE) Wird von VMCA (VMware Certificate Manager) für die Unterstützung der Zertifikatwiederherstellung verwendet. Nur der letzte Status wird als Backup gespeichert und Sie können nur den letzten Schritt rückgängig machen.
Weitere Speicher Weitere Speicher können durch Lösungen hinzugefügt werden. Beispielsweise fügt die Virtual Volumes-Lösung einen SMS-Speicher hinzu. Ändern Sie die Zertifikate in diesen Speichern nur, wenn Sie in der VMware-Dokumentation oder in einem VMware-Knowledgebase-Artikel dazu aufgefordert werden.
Hinweis: Durch das Löschen des Speichers TRUSTED_ROOTS_CRLS kann die Zertifikatinfrastruktur beschädigt werden. Den TRUSTED_ROOTS_CRLS-Speicher sollten Sie weder löschen noch ändern.
Beispiel:
vecs-cli store list

vecs-cli store permissions

Erteilt oder widerruft die Berechtigungen für den Speicher. Verwenden Sie entweder die Option --grant (erteilen) oder die Option --revoke (widerrufen).

Der Besitzer des Speichers kann alle Vorgänge ausführen. Dazu gehört auch das Recht zum Erteilen und Widerrufen von Berechtigungen. Der Administrator der lokalen vCenter Single Sign-On-Domäne (standardmäßig „[email protected]“) verfügt über Rechte für alle Speicher. Dazu gehört auch das Recht zum Erteilen und Widerrufen von Berechtigungen.

Mit vecs-cli get-permissions --name <store-name> können Sie die aktuellen Einstellungen des Speichers abrufen.

Option Beschreibung
--name <name> Der Name des Zertifikatspeichers.
--user <username> Eindeutiger Name des Benutzers, dem Berechtigungen erteilt werden
--grant [read|write] Berechtigung, die erteilt wird: read (Lesen) oder write (Schreiben)
--revoke [read|write] Berechtigung, die widerrufen wird: read (Lesen) oder write (Schreiben). Wird derzeit nicht unterstützt.

vecs-cli store get-permissions

Ruft die aktuellen Berechtigungseinstellungen für den Speicher ab.

Option Beschreibung
--name <name> Der Name des Zertifikatspeichers.

--server <server-name>

Wird verwendet, um einen Servernamen anzugeben, wenn Sie eine Verbindung zu einer VECS-Remote-Instanz herstellen.

--upn <user-name>

Benutzerprinzipalname, der zur Anmeldung bei der durch --server <server-name> angegebenen Serverinstanz verwendet wird. Wenn Sie einen Speicher erstellen, wird dieser im Kontext des aktuellen Benutzers erstellt. Daher ist der Besitzer des Speichers der aktuelle Benutzerkontext und nicht immer der Root-Benutzer.

vecs-cli entry create

Erstellt einen Eintrag in VECS. Verwenden Sie diesen Befehl, um einen privaten Schlüssel in ein Zertifikat oder einen Speicher einzufügen.

Option Beschreibung

--store <NameOfStore>

Der Name des Zertifikatspeichers.

--alias <Alias> Der optionale Alias für das Zertifikat. Diese Option wird für den vertrauenswürdigen Stammzertifikatspeicher ignoriert.
--cert <certificate_file_path> Der vollständige Pfad der Zertifikatsdatei.
--key <key-file-path>

Der vollständige Pfad des Schlüssels, der dem Zertifikat entspricht.

Optional.
--password <password> Optionales Kennwort für die Verschlüsselung des privaten Schlüssels.

--server <server-name>

Wird verwendet, um einen Servernamen anzugeben, wenn Sie eine Verbindung zu einer VECS-Remote-Instanz herstellen.

--upn <user-name>

Benutzerprinzipalname, der zur Anmeldung bei der durch --server <server-name> angegebenen Serverinstanz verwendet wird. Wenn Sie einen Speicher erstellen, wird dieser im Kontext des aktuellen Benutzers erstellt. Daher ist der Besitzer des Speichers der aktuelle Benutzerkontext und nicht immer der Root-Benutzer.

vecs-cli entry list

Listet alle Einträge in einem angegebenen Speicher auf.

Option Beschreibung
--store <NameOfStore>

Der Name des Zertifikatspeichers.

vecs-cli entry getcert

Ruft ein Zertifikat aus dem VECS ab. Sie können das Zertifikat an eine Ausgabedatei senden oder als von Benutzern lesbaren Text anzeigen.

Option Beschreibung
--store <NameOfStore>

Der Name des Zertifikatspeichers.

--alias <Alias> Alias des Zertifikats
--output <output_file_path> Datei, in die das Zertifikat geschrieben wird.
--text Zeigt eine von Benutzern lesbare Version des Zertifikats an.

--server <server-name>

Wird verwendet, um einen Servernamen anzugeben, wenn Sie eine Verbindung zu einer VECS-Remote-Instanz herstellen.

--upn <user-name>

Benutzerprinzipalname, der zur Anmeldung bei der durch --server <server-name> angegebenen Serverinstanz verwendet wird. Wenn Sie einen Speicher erstellen, wird dieser im Kontext des aktuellen Benutzers erstellt. Daher ist der Besitzer des Speichers der aktuelle Benutzerkontext und nicht immer der Root-Benutzer.

vecs-cli entry getkey

Ruft einen im VECS gespeicherten Schlüssel ab. Sie können den Schlüssel an eine Ausgabedatei senden oder als von Benutzern lesbaren Text anzeigen.

Option Beschreibung
--store <NameOfStore>

Der Name des Zertifikatspeichers.

--alias <Alias> Alias des Schlüssels
--output <output_file_path> Ausgabedatei, in die der Schlüssel geschrieben wird.
--text Zeigt eine von Benutzern lesbare Version des Schlüssels an.

--server <server-name>

Wird verwendet, um einen Servernamen anzugeben, wenn Sie eine Verbindung zu einer VECS-Remote-Instanz herstellen.

--upn <user-name>

Benutzerprinzipalname, der zur Anmeldung bei der durch --server <server-name> angegebenen Serverinstanz verwendet wird. Wenn Sie einen Speicher erstellen, wird dieser im Kontext des aktuellen Benutzers erstellt. Daher ist der Besitzer des Speichers der aktuelle Benutzerkontext und nicht immer der Root-Benutzer.

vecs-cli entry delete

Löscht einen Eintrag in einem Zertifikatspeicher. Wenn ein Eintrag aus dem VECS gelöscht wird, wird er dauerhaft aus dem VECS entfernt. Die einzige Ausnahme ist das aktuelle Stammzertifikat. VECS ruft ein Rootzertifikat aus vmdir ab.

Option Beschreibung
--store <NameOfStore>

Der Name des Zertifikatspeichers.

--alias <Alias> Alias des Eintrags, der gelöscht werden soll

--server <server-name>

Wird verwendet, um einen Servernamen anzugeben, wenn Sie eine Verbindung zu einer VECS-Remote-Instanz herstellen.

--upn <user-name>

Benutzerprinzipalname, der zur Anmeldung bei der durch --server <server-name> angegebenen Serverinstanz verwendet wird. Wenn Sie einen Speicher erstellen, wird dieser im Kontext des aktuellen Benutzers erstellt. Daher ist der Besitzer des Speichers der aktuelle Benutzerkontext und nicht immer der Root-Benutzer.

-y Unterdrückt die Bestätigungsaufforderung. Nur für fortgeschrittene Benutzer.

vecs-cli force-refresh

Erzwingt die Aktualisierung von VECS. Standardmäßig sieht der VECS alle 5 Minuten im vmdir nach, ob ein neues Stammzertifikat vorliegt. Mit diesem Befehl wird der VECS sofort aus dem vmdir aktualisiert.

Option Beschreibung

--server <server-name>

Wird verwendet, um einen Servernamen anzugeben, wenn Sie eine Verbindung zu einer VECS-Remote-Instanz herstellen.

--upn <user-name>

Benutzerprinzipalname, der zur Anmeldung bei der durch --server <server-name> angegebenen Serverinstanz verwendet wird. Wenn Sie einen Speicher erstellen, wird dieser im Kontext des aktuellen Benutzers erstellt. Daher ist der Besitzer des Speichers der aktuelle Benutzerkontext und nicht immer der Root-Benutzer.