Sie können Zertifikate von VMCA (VMware Certificate Authority), VECS (VMware Endpoint Certificate Store), VMware Directory Service (vmdir) und Security Token Service (STS) mithilfe eines Satzes von CLIs verwalten. Das Dienstprogramm vSphere Certificate Manager unterstützt zwar auch viele verwandte Aufgaben, für die manuelle Zertifikatverwaltung und für die Verwaltung von anderen Diensten sind jedoch Befehlszeilenschnittstellen erforderlich.

Normalerweise greifen Sie auf die CLI-Tools für die Verwaltung von Zertifikaten und zugehörigen Diensten zu, indem Sie über SSH eine Verbindung mit der Appliance-Shell herstellen. Weitere Informationen finden Sie im VMware-Knowledgebase-Artikel unter https://kb.vmware.com/s/article/2100508.

Unter Manuelle vSphere-Zertifikatsersetzung werden Beispiele zum Ersetzen von Zertifikaten mithilfe von CLI-Befehlen bereitgestellt.

Tabelle 1. vSphere CLI Tools für die Verwaltung von Zertifikaten und zugehörigen Diensten
Befehlszeilenschnittstelle Beschreibung Informationen hierzu unter
certool Generieren und verwalten Sie Zertifikate und Schlüssel. Teil von VMCAD, dem VMware-Dienst für die Zertifikatverwaltung.

Befehlsreferenz für die certool-Initialisierung

vecs-cli Verwalten Sie die Inhalte von VMware-Zertifikatspeicherinstanzen. Bestandteil des VMware-Authentifizierungsframework-Daemon (VMAFD). Befehlsreferenz für vecs-cli
dir-cli Erstellen und aktualisieren Sie Zertifikate im VMware Directory Service. Bestandteil von VMAFD. Befehlsreferenz für dir-cli
sso-config.sh Verwalten Sie STS-Zertifikate. Befehlszeilenhilfe. Wenn Sie sso-config.sh ohne Optionen eingeben, wird die Befehlszeilenhilfe angezeigt.
service-control Starten oder beenden Sie Dienste, zum Beispiel als Teil eines Workflows zur Zertifikatsersetzung.

Führen Sie diesen Befehl aus, um Dienste anzuhalten, bevor Sie andere CLI-Befehle ausführen.

vSphere CLI-Speicherorte

Die CLIs finden Sie standardmäßig in den folgenden Speicherorten. 

/usr/lib/vmware-vmafd/bin/vecs-cli
/usr/lib/vmware-vmafd/bin/dir-cli
/usr/lib/vmware-vmca/bin/certool
/opt/vmware/bin/sso-config.sh
Hinweis: Für den Befehl service-control müssen Sie den Pfad nicht angeben.

Erforderliche Rechte für die Ausführung von vSphere-CLIs

Die erforderlichen Rechte richten sich nach der von Ihnen verwendeten CLI und nach dem Befehl, den Sie ausführen möchten. Bei den meisten Vorgängen zur Zertifikatverwaltung müssen Sie beispielsweise ein Administrator für die lokale vCenter Single Sign-On-Domäne sein (standardmäßig „vsphere.local“). Manche Befehle sind für alle Benutzer verfügbar.

dir-cli
Zum Ausführen von dir-cli-Befehlen müssen Sie Mitglied der Gruppe „Administratoren“ in der lokalen Domäne sein (standardmäßig „vsphere.local“). Wenn Sie keinen Benutzernamen und kein Kennwort angeben, werden Sie zur Eingabe des Administratorkennworts für die lokale vCenter Single Sign-On-Domäne aufgefordert (standardmäßig „[email protected]“).
vecs-cli
Anfänglich haben nur der Besitzer des Speichers und Benutzer mit pauschalen Zugriffsrechten Zugriff auf einen Speicher. Benutzer in der Administratorengruppe verfügen über pauschale Zugriffsrechte.
Bei den Speichern MACHINE_SSL_CERT und TRUSTED_ROOTS handelt es sich um spezielle Speicher. In Abhängigkeit vom Installationstyp hat nur der Rootbenutzer oder Administratorbenutzer vollständigen Zugriff.
certool
Für die meisten certool-Befehle muss der Benutzer der Gruppe „Administratoren“ angehören. Alle Benutzer können die folgenden Befehle ausführen.
  • genselfcacert
  • initscr
  • getdc
  • waitVMDIR
  • waitVMCA
  • genkey
  • viewcert

Ändern der certool-Konfigurationsoptionen

Wenn Sie certool --gencert oder bestimmte andere Zertifikatinitialisierungs- oder Verwaltungsbefehle ausführen, liest der Befehl alle Werte aus einer Konfigurationsdatei ein. Sie können die vorhandene Datei bearbeiten, die Standardkonfigurationsdatei (certool.cfg) mithilfe der Option -–config=<file name> außer Kraft setzen oder verschiedene Werte in der Befehlszeile überschreiben.

Die Konfigurationsdatei certool.cfg befindet sich standardmäßig im Verzeichnis /usr/lib/vmware-vmca/share/config/.

Die Datei weist mehrere Felder mit den folgenden Standardwerten auf: 

Country = US
Name= Acme
Organization = AcmeOrg
OrgUnit = AcmeOrg Engineering
State = California 
Locality = Palo Alto
IPAddress = 127.0.0.1	
Email = [email protected]
Hostname = server.acme.com
Hinweis: Das OU-Feld (organizationalUnitName) ist nicht mehr obligatorisch.
Sie können die Werte ändern, indem Sie in der Befehlszeile eine modifizierte Datei angeben oder indem Sie einzelne Werte wie folgt in der Befehlszeile überschreiben.
  • Erstellen Sie eine Kopie der Konfigurationsdatei und bearbeiten Sie die Datei. Verwenden Sie die Befehlszeilenoption --config, um die Datei anzugeben. Geben Sie den vollständigen Pfad ein, um Probleme beim Pfadnamen zu vermeiden. 
  • /usr/lib/vmware-vmca/bin/certool -–gencert --config /tmp/myconfig.cfg
  • Überschreiben Sie einzelne Werte in der Befehlszeile. Führen Sie beispielsweise den folgenden Befehl aus, um „Locality“ zu überschreiben: 
    /usr/lib/vmware-vmca/bin/certool -–gencert -–privkey=private.key –-Locality="Mountain View"
Geben Sie --Name an, um das Feld „CN“ für den Objektnamen des Zertifikats zu ersetzen.
  • Für Lösungsbenutzerzertifikate lautet der Name laut Konvention <Lösungsbenutzername>@<Domäne>. Sie können den Namen jedoch ändern, wenn in Ihrer Umgebung eine andere Konvention verwendet wird.
  • Für Maschinen-SSL-Zertifikate wird der FQDN der Maschine verwendet.

    VMCA erlaubt nur einen einzigen DNSName-Wert (im Feld Hostname) und keine anderen Aliasoptionen. Wenn die IP-Adresse vom Benutzer angegeben wird, wird sie ebenfalls in „SubAltName“ gespeichert.

Verwenden Sie den Parameter --Hostname, um den DNSName-Wert für „SubAltName“ des Zertifikats anzugeben.