El conjunto de comandos vecs-cli permite administrar las instancias de VMware Certificate Store (VECS). Utilice estos comandos junto con dir-cli y certool para administrar la infraestructura de certificados y demás servicios de Platform Services Controller.
vecs-cli store create
Crea un almacén de certificados.
Opción | Descripción |
---|---|
--name <name> | Nombre del almacén de certificados. |
--server <server-name> |
Se utiliza para especificar un nombre de servidor si el usuario se conecta a una instancia de VECS remota. |
--upn <user-name> |
Nombre principal del usuario que se utiliza para iniciar sesión en la instancia de servidor especificada por --server <server-name> . Cuando crea un almacén, se crea en el contexto del usuario actual. En consecuencia, el propietario del almacén es el contexto del usuario actual y no siempre el usuario raíz. |
vecs-cli store create --name <store>
vecs-cli store delete
Elimina un almacén de certificados. Puede eliminar los almacenes del sistema MACHINE_SSL_CERT, TRUSTED_ROOTS y TRUSTED_ROOT_CRLS. Los usuarios con privilegios exigidos pueden eliminar los almacenes de usuarios de solución.
Opción | Descripción |
---|---|
--name <name> | Nombre del almacén de certificados que se va a eliminar. |
--server <server-name> |
Se utiliza para especificar un nombre de servidor si el usuario se conecta a una instancia de VECS remota. |
--upn <user-name> |
Nombre principal del usuario que se utiliza para iniciar sesión en la instancia de servidor especificada por --server <server-name> . Cuando crea un almacén, se crea en el contexto del usuario actual. En consecuencia, el propietario del almacén es el contexto del usuario actual y no siempre el usuario raíz. |
vecs-cli store delete --name <store>
vecs-cli store list
Enumera los almacenes de certificados.
Opción | Descripción |
---|---|
--server <server-name> |
Se utiliza para especificar un nombre de servidor si el usuario se conecta a una instancia de VECS remota. |
--upn <user-name> |
Nombre principal del usuario que se utiliza para iniciar sesión en la instancia de servidor especificada por --server <server-name> . Cuando crea un almacén, se crea en el contexto del usuario actual. En consecuencia, el propietario del almacén es el contexto del usuario actual y no siempre el usuario raíz. |
Almacén | Descripción |
---|---|
Almacén SSL de máquina (MACHINE_SSL_CERT) |
Todos los servicios de vSphere 6.0 y versiones posteriores se comunican mediante un proxy inverso que utiliza el certificado SSL de equipo. Por razones de compatibilidad con versiones anteriores, los servicios de la versión 5.x todavía utilizan puertos específicos. Como resultado, algunos servicios como vpxd todavía tienen su propio puerto abierto. |
Almacén raíz de confianza (TRUSTED_ROOTS) | Contiene todos los certificados raíz de confianza. |
Almacenes de usuarios de solución
|
VECS incluye un almacén para cada usuario de solución. El asunto de cada certificado de usuario de solución debe ser único, por ejemplo, el certificado de máquina no puede tener el mismo asunto que el certificado de vpxd. Los certificados de usuarios de solución se utilizan para la autenticación con vCenter Single Sign-On. vCenter Single Sign-On comprueba que el certificado sea válido, pero no comprueba otros atributos del certificado. En una implementación integrada, todos los certificados de usuarios de solución están en el mismo sistema. Los siguientes almacenes de certificados de usuarios de solución se incluyen en VECS en cada nodo de administración y en cada implementación integrada:
Cada nodo de Platform Services Controller incluye un certificado |
Almacén de copias de seguridad de la utilidad vSphere Certificate Manager (BACKUP_STORE) | VMCA (VMware Certificate Manager) lo utiliza para admitir la reversión de certificados. Solo el estado más reciente se almacena como copia de seguridad; no se puede volver más de un paso. |
Otros almacenes | Las soluciones pueden agregar otros almacenes. Por ejemplo, la solución Virtual Volumes agrega un almacén SMS. No modifique los certificados de estos almacenes a menos que así se indique en la documentación de VMware o en un artículo de la base de conocimientos de VMware.
Nota: La eliminación del almacén TRUSTED_ROOTS_CRLS puede dañar la infraestructura de certificado. No elimine ni modifique el almacén TRUSTED_ROOTS_CRLS.
|
vecs-cli store list
vecs-cli store permissions
Otorga o revoca permisos en el almacén. Utilice la opción --grant o --revoke.
El propietario de almacén puede realizar todas las operaciones, incluso otorgar y revocar permisos. El administrador del dominio local de vCenter Single Sign-On, [email protected] de manera predeterminada, tiene todos los privilegios en todos los almacenes, incluso otorgar y revocar permisos.
Se puede utilizar vecs-cli get-permissions --name <store-name> para recuperar la configuración actual del almacén.
Opción | Descripción |
---|---|
--name <name> | Nombre del almacén de certificados. |
--user <username> | Nombre único del usuario al que se otorgan permisos. |
--grant [read|write] | Permiso que se va a otorgar, ya sea de lectura o de escritura. |
--revoke [read|write] | Permiso que se va a revocar, ya sea de lectura o de escritura. No es compatible en este momento. |
vecs-cli store get-permissions
Recupera la configuración de permiso actual para el almacén.
Opción | Descripción |
---|---|
--name <name> | Nombre del almacén de certificados. |
--server <server-name> |
Se utiliza para especificar un nombre de servidor si el usuario se conecta a una instancia de VECS remota. |
--upn <user-name> |
Nombre principal del usuario que se utiliza para iniciar sesión en la instancia de servidor especificada por --server <server-name> . Cuando crea un almacén, se crea en el contexto del usuario actual. En consecuencia, el propietario del almacén es el contexto del usuario actual y no siempre el usuario raíz. |
vecs-cli entry create
Crea una entrada en VECS. Utilice este comando para agregar una clave privada o un certificado a un almacén.
Opción | Descripción |
---|---|
--store <NameOfStore> |
Nombre del almacén de certificados. |
--alias <Alias> | Alias opcional del certificado. Esta opción se ignora para el almacén raíz de confianza. |
--cert <certificate_file_path> | Ruta de acceso completa del archivo de certificado. |
--key <key-file-path> | Ruta de acceso completa de la clave que corresponde al certificado. Opcional. |
--password <password> | Contraseña opcional para cifrar la clave privada. |
--server <server-name> |
Se utiliza para especificar un nombre de servidor si el usuario se conecta a una instancia de VECS remota. |
--upn <user-name> |
Nombre principal del usuario que se utiliza para iniciar sesión en la instancia de servidor especificada por --server <server-name> . Cuando crea un almacén, se crea en el contexto del usuario actual. En consecuencia, el propietario del almacén es el contexto del usuario actual y no siempre el usuario raíz. |
vecs-cli entry list
Enumera todas las entradas en un almacén especificado.
Opción | Descripción |
---|---|
--store <NameOfStore> | Nombre del almacén de certificados. |
vecs-cli entry getcert
Recupera un certificado de VECS. Es posible enviar el certificado en un archivo de salida o mostrarlo como texto en lenguaje natural.
Opción | Descripción |
---|---|
--store <NameOfStore> | Nombre del almacén de certificados. |
--alias <Alias> | Alias del certificado. |
--output <output_file_path> | Archivo donde se escribe el certificado. |
--text | Muestra una versión del certificado en lenguaje natural. |
--server <server-name> |
Se utiliza para especificar un nombre de servidor si el usuario se conecta a una instancia de VECS remota. |
--upn <user-name> |
Nombre principal del usuario que se utiliza para iniciar sesión en la instancia de servidor especificada por --server <server-name> . Cuando crea un almacén, se crea en el contexto del usuario actual. En consecuencia, el propietario del almacén es el contexto del usuario actual y no siempre el usuario raíz. |
vecs-cli entry getkey
Recupera una clave almacenada en VECS. Es posible enviar la clave en un archivo de salida o mostrarla como texto en lenguaje natural.
Opción | Descripción |
---|---|
--store <NameOfStore> | Nombre del almacén de certificados. |
--alias <Alias> | Alias de la clave. |
--output <output_file_path> | Archivo de salida donde se escribe la clave. |
--text | Muestra una versión de la clave en lenguaje natural. |
--server <server-name> |
Se utiliza para especificar un nombre de servidor si el usuario se conecta a una instancia de VECS remota. |
--upn <user-name> |
Nombre principal del usuario que se utiliza para iniciar sesión en la instancia de servidor especificada por --server <server-name> . Cuando crea un almacén, se crea en el contexto del usuario actual. En consecuencia, el propietario del almacén es el contexto del usuario actual y no siempre el usuario raíz. |
vecs-cli entry delete
Elimina una entrada de un almacén de certificados. Si se elimina una entrada en VECS, esta se quita de forma permanente de VECS. La única excepción es el certificado raíz actual. VECS sondea vmdir en busca de un certificado raíz.
Opción | Descripción |
---|---|
--store <NameOfStore> | Nombre del almacén de certificados. |
--alias <Alias> | Alias de la entrada que se desea eliminar. |
--server <server-name> |
Se utiliza para especificar un nombre de servidor si el usuario se conecta a una instancia de VECS remota. |
--upn <user-name> |
Nombre principal del usuario que se utiliza para iniciar sesión en la instancia de servidor especificada por --server <server-name> . Cuando crea un almacén, se crea en el contexto del usuario actual. En consecuencia, el propietario del almacén es el contexto del usuario actual y no siempre el usuario raíz. |
-y | Suprime la solicitud de confirmación. Para usuarios avanzados solamente. |
vecs-cli force-refresh
Fuerza una actualización de VECS. De forma predeterminada, VECS sondea vmdir cada 5 minutos en busca de archivos de certificado raíz nuevos. Utilice este comando para realizar una actualización inmediata de VECS desde vmdir.
Opción | Descripción |
---|---|
--server <server-name> |
Se utiliza para especificar un nombre de servidor si el usuario se conecta a una instancia de VECS remota. |
--upn <user-name> |
Nombre principal del usuario que se utiliza para iniciar sesión en la instancia de servidor especificada por --server <server-name> . Cuando crea un almacén, se crea en el contexto del usuario actual. En consecuencia, el propietario del almacén es el contexto del usuario actual y no siempre el usuario raíz. |