Para la mayoría de las operaciones de administración de certificados de vCenter, el usuario debe estar en el grupo Administradores de CA del dominio vsphere.local. El usuario administrator@vsphere.local se encuentra en el grupo Administradores de CA. Algunas operaciones están permitidas para todos los usuarios.

Si se ejecuta la utilidad vCenter Certificate Manager, se solicita la contraseña de administrator@vsphere.local. Si se reemplazan los certificados de forma manual, las diferentes opciones de las distintas CLI requieren privilegios diferentes.

dir-cli

Es necesario ser miembro del grupo Administradores de CA del dominio vsphere.local. Cada vez que se ejecuta un comando dir-cli, se solicita un nombre de usuario y una contraseña.

vecs-cli

Al principio, solo el propietario del almacén tiene acceso al almacén. El propietario del almacén es el usuario administrador en los sistemas Windows y el usuario raíz en los sistemas Linux. El propietario del almacén puede brindar acceso a otros usuarios.

Los almacenes MACHINE_SSL_CERT y TRUSTED_ROOTS son almacenes especiales. Solo el usuario raíz o el usuario administrador (según el tipo de instalación), tienen acceso total.

certool

La mayoría de los comandos certool requieren que el usuario esté en el grupo Administradores de CA. El usuario administrator@vsphere.local se encuentra en el grupo Administradores de CA. Todos los usuarios pueden ejecutar los siguientes comandos:

  • genselfcacert

  • initscr

  • getdc

  • waitVMDIR

  • waitVMCA

  • genkey

  • viewcert

Para administrar certificados de los hosts ESXi, se debe tener el privilegio Certificados > Administrar certificados. Este privilegio se puede establecer desde vSphere Web Client.