El conjunto de comandos vecs-cli permite administrar las instancias de VMware Certificate Store (VECS). Utilice estos comandos junto con dir-cli y certool para administrar la infraestructura de certificados.

vecs-cli store create

Crea un almacén de certificados.

Opción

Descripción

--name <name>

Nombre del almacén de certificados.

Ejemplo:

vecs-cli store create --name <store>

vecs-cli store delete

Elimina un almacén de certificados. No se pueden eliminar los almacenes de certificados predefinidos por el sistema.

Opción

Descripción

--name <name>

Nombre del almacén de certificados que se va a eliminar.

Ejemplo:

vecs-cli store delete --name <store>

vecs-cli store list

Enumera los almacenes de certificados.

VECS incluye los siguientes almacenes.

Tabla 1. Almacenes en VECS

Almacén

Descripción

Almacén SSL de máquina (MACHINE_SSL_CERT)

  • El servicio de proxy inverso lo utiliza en cada nodo de vSphere.

  • VMware Directory Service (vmdir) lo utiliza en implementaciones integradas y en cada nodo de Platform Services Controller.

Todos los servicios de vSphere 6.0 se comunican mediante un proxy inverso que utiliza el certificado SSL de máquina. Por razones de compatibilidad con versiones anteriores, los servicios de la versión 5.x todavía utilizan puertos específicos. Como resultado, algunos servicios como vpxd todavía tienen su propio puerto abierto.

Almacén raíz de confianza (TRUSTED_ROOTS)

Contiene todos los certificados raíz de confianza.

Almacenes de usuarios de solución

  • virtual

  • vpxd

  • vpxd-extensions

  • vsphere-webclient

VECS incluye un almacén para cada usuario de solución. El asunto de cada certificado de usuario de solución debe ser único, por ejemplo, el certificado de máquina no puede tener el mismo asunto que el certificado de vpxd.

Los certificados de usuarios de solución se utilizan para la autenticación con vCenter Single Sign-On. vCenter Single Sign-On comprueba que el certificado sea válido, pero no comprueba otros atributos del certificado. En una implementación integrada, todos los certificados de usuarios de solución están en el mismo sistema.

Los siguientes almacenes de certificados de usuarios de solución se incluyen en VECS en cada nodo de administración y en cada implementación integrada:

  • machine: lo utilizan el administrador de componentes, el servidor de licencias y el servicio de registro.

    Nota:

    El certificado de usuario de solución de la máquina no tiene relación alguna con el certificado SSL de máquina. El certificado de usuario de solución de la máquina se utiliza para el intercambio de tokens SAML, mientras que el certificado SSL de máquina se utiliza para las conexiones SSL seguras de una máquina.

  • vpxd: almacén de daemon del servicio vCenter (vpxd) de los nodos de administración y las implementaciones integradas. vpxd utiliza el certificado de usuario de solución que está en este almacén para autenticarse en vCenter Single Sign-On.

  • vpxd-extensions: almacén de extensiones de vCenter. Incluye el servicio de Auto Deploy, el servicio de inventario u otros servicios que no forman parte de otros usuarios de solución.

  • vsphere-webclient: almacén de vSphere Web Client. También incluye algunos servicios adicionales como el servicio de gráficos de rendimiento.

El almacén machine también se incluye en cada nodo de Platform Services Controller.

Almacén de copias de seguridad de la utilidad vSphere Certificate Manager (BACKUP_STORE)

VMCA (VMware Certificate Manager) lo utiliza para admitir la reversión de certificados. Solo el estado más reciente se almacena como copia de seguridad; no se puede volver más de un paso.

Otros almacenes

Las soluciones pueden agregar otros almacenes. Por ejemplo, la solución Virtual Volumes agrega un almacén SMS. No modifique los certificados de estos almacenes a menos que lo indique la documentación de VMware o un artículo de la base de conocimientos de VMware.

Nota:

Las CRL no son compatibles con vSphere 6.0. Sin embargo, si se elimina el almacén TRUSTED_ROOTS_CRLS, se puede dañar la infraestructura de certificados. No elimine ni modifique el almacén TRUSTED_ROOTS_CRLS.

Ejemplo:

vecs-cli store list

vecs-cli store permissions

Otorga o revoca permisos en el almacén. Utilice la opción --grant o --revoke.

El propietario del almacén tiene el control de su almacén, incluida la capacidad para otorgar y revocar permisos. El administrador tiene todos los privilegios en todos los almacenes, incluida la capacidad para otorgar y revocar permisos.

Se puede utilizar vecs-cli get-permissions --name <store-name> para recuperar la configuración actual del almacén.

Opción

Descripción

--name <name>

Nombre del almacén de certificados.

--user <username>

Nombre único del usuario al que se otorgan permisos.

--grant [read|write]

Permiso que se va a otorgar, ya sea de lectura o de escritura.

--revoke [read|write]

Permiso que se va a revocar, ya sea de lectura o de escritura. No es compatible en este momento.

vecs-cli entry create

Cree una entrada en VECS. Utilice este comando para agregar una clave privada o un certificado a un almacén.

Opción

Descripción

--store <NameOfStore>

Nombre del almacén de certificados.

--alias <Alias>

Alias opcional del certificado. Esta opción se ignora para el almacén raíz de confianza.

--cert <certificate_file_path>

Ruta de acceso completa del archivo de certificado.

--key <key-file-path>

Ruta de acceso completa de la clave que corresponde al certificado.

Opcional.

vecs-cli entry list

Enumera todas las entradas en un almacén especificado.

Opción

Descripción

--store <NameOfStore>

Nombre del almacén de certificados.

--text

Muestra una versión del certificado en lenguaje natural.

vecs-cli entry getcert

Recupera un certificado de VECS. Es posible enviar el certificado en un archivo de salida o mostrarlo como texto en lenguaje natural.

Opción

Descripción

--store <NameOfStore>

Nombre del almacén de certificados.

--alias <Alias>

Alias del certificado.

--output <output_file_path>

Archivo donde se escribe el certificado.

--text

Muestra una versión del certificado en lenguaje natural.

vecs-cli entry getkey

Recupera una clave almacenada en VECS. Es posible enviar el certificado en un archivo de salida o mostrarlo como texto en lenguaje natural.

Opción

Descripción

--store <NameOfStore>

Nombre del almacén de certificados.

--alias <Alias>

Alias de la clave.

--output <output_file_path>

Archivo de salida donde se escribe la clave.

--text

Muestra una versión de la clave en lenguaje natural.

vecs-cli entry delete

Elimina una entrada de un almacén de certificados. Si se elimina una entrada en VECS, esta se quita de forma permanente de VECS. La única excepción es el certificado raíz actual. VECS sondea vmdir en busca de un certificado raíz.

Opción

Descripción

--store <NameOfStore>

Nombre del almacén de certificados.

--alias <Alias>

Alias de la entrada que se desea eliminar.

vecs-cli force-refresh

Fuerza una actualización de vecs-cli. Cuando esto ocurre, vecs-cli se actualiza para utilizar la información más reciente de vmdir. De forma predeterminada, VECS sondea vmdir cada 5 minutos en busca de archivos de certificado raíz nuevos. Utilice este comando para realizar una actualización inmediata de VECS desde vmdir.