El conjunto de comandos vecs-cli permite administrar las instancias de VMware Certificate Store (VECS). Utilice estos comandos junto con dir-cli y certool para administrar la infraestructura de certificados y demás servicios de Platform Services Controller.

vecs-cli store create

Crea un almacén de certificados.

Opción Descripción
--name <name> Nombre del almacén de certificados.

--server <server-name>

Se utiliza para especificar un nombre de servidor si el usuario se conecta a una instancia de VECS remota.

--upn <user-name>

Nombre principal del usuario que se utiliza para iniciar sesión en la instancia de servidor especificada por --server <server-name> . Cuando crea un almacén, se crea en el contexto del usuario actual. En consecuencia, el propietario del almacén es el contexto del usuario actual y no siempre el usuario raíz.

Ejemplo:
vecs-cli store create --name <store>

vecs-cli store delete

Elimina un almacén de certificados. Puede eliminar los almacenes del sistema MACHINE_SSL_CERT, TRUSTED_ROOTS y TRUSTED_ROOT_CRLS. Los usuarios con privilegios exigidos pueden eliminar los almacenes de usuarios de solución.

Opción Descripción
--name <name> Nombre del almacén de certificados que se va a eliminar.

--server <server-name>

Se utiliza para especificar un nombre de servidor si el usuario se conecta a una instancia de VECS remota.

--upn <user-name>

Nombre principal del usuario que se utiliza para iniciar sesión en la instancia de servidor especificada por --server <server-name> . Cuando crea un almacén, se crea en el contexto del usuario actual. En consecuencia, el propietario del almacén es el contexto del usuario actual y no siempre el usuario raíz.

Ejemplo:
vecs-cli store delete --name <store>

vecs-cli store list

Enumera los almacenes de certificados.

Opción Descripción

--server <server-name>

Se utiliza para especificar un nombre de servidor si el usuario se conecta a una instancia de VECS remota.

--upn <user-name>

Nombre principal del usuario que se utiliza para iniciar sesión en la instancia de servidor especificada por --server <server-name> . Cuando crea un almacén, se crea en el contexto del usuario actual. En consecuencia, el propietario del almacén es el contexto del usuario actual y no siempre el usuario raíz.

VECS incluye los siguientes almacenes.
Tabla 1. Almacenes en VECS
Almacén Descripción
Almacén SSL de máquina (MACHINE_SSL_CERT)
  • El servicio de proxy inverso lo utiliza en cada nodo de vSphere.
  • VMware Directory Service (vmdir) lo utiliza en implementaciones integradas y en cada nodo de Platform Services Controller.

Todos los servicios de vSphere 6.0 y versiones posteriores se comunican mediante un proxy inverso que utiliza el certificado SSL de equipo. Por razones de compatibilidad con versiones anteriores, los servicios de la versión 5.x todavía utilizan puertos específicos. Como resultado, algunos servicios como vpxd todavía tienen su propio puerto abierto.

Almacén raíz de confianza (TRUSTED_ROOTS) Contiene todos los certificados raíz de confianza.
Almacenes de usuarios de solución
  • machine
  • vpxd
  • vpxd-extension
  • vsphere-webclient
VECS incluye un almacén para cada usuario de solución. El asunto de cada certificado de usuario de solución debe ser único, por ejemplo, el certificado de máquina no puede tener el mismo asunto que el certificado de vpxd.

Los certificados de usuarios de solución se utilizan para la autenticación con vCenter Single Sign-On. vCenter Single Sign-On comprueba que el certificado sea válido, pero no comprueba otros atributos del certificado. En una implementación integrada, todos los certificados de usuarios de solución están en el mismo sistema.

Los siguientes almacenes de certificados de usuarios de solución se incluyen en VECS en cada nodo de administración y en cada implementación integrada:

  • machine: lo utilizan el servidor de licencias y el servicio de registro.
    Nota: El certificado de usuario de solución de la máquina no tiene relación alguna con el certificado SSL de máquina. El certificado de usuario de solución de la máquina se utiliza para el intercambio de tokens SAML, mientras que el certificado SSL de máquina se utiliza para las conexiones SSL seguras de una máquina.
  • vpxd: almacén de daemon del servicio vCenter (vpxd) de los nodos de administración y las implementaciones integradas. vpxd utiliza el certificado de usuario de solución que está en este almacén para autenticarse en vCenter Single Sign-On.
  • vpxd-extension: almacén de extensiones de vCenter. Incluye el servicio de Auto Deploy, el servicio de inventario u otros servicios que no forman parte de otros usuarios de solución.
  • vsphere-webclient: almacén de vSphere Web Client. También incluye algunos servicios adicionales como el servicio de gráficos de rendimiento.

Cada nodo de Platform Services Controller incluye un certificado machine.

Almacén de copias de seguridad de la utilidad vSphere Certificate Manager (BACKUP_STORE) VMCA (VMware Certificate Manager) lo utiliza para admitir la reversión de certificados. Solo el estado más reciente se almacena como copia de seguridad; no se puede volver más de un paso.
Otros almacenes Las soluciones pueden agregar otros almacenes. Por ejemplo, la solución Virtual Volumes agrega un almacén SMS. No modifique los certificados de estos almacenes a menos que así se indique en la documentación de VMware o en un artículo de la base de conocimientos de VMware.
Nota: La eliminación del almacén TRUSTED_ROOTS_CRLS puede dañar la infraestructura de certificado. No elimine ni modifique el almacén TRUSTED_ROOTS_CRLS.
Ejemplo:
vecs-cli store list

vecs-cli store permissions

Otorga o revoca permisos en el almacén. Utilice la opción --grant o --revoke.

El propietario de almacén puede realizar todas las operaciones, incluso otorgar y revocar permisos. El administrador del dominio local de vCenter Single Sign-On, [email protected] de manera predeterminada, tiene todos los privilegios en todos los almacenes, incluso otorgar y revocar permisos.

Se puede utilizar vecs-cli get-permissions --name <store-name> para recuperar la configuración actual del almacén.

Opción Descripción
--name <name> Nombre del almacén de certificados.
--user <username> Nombre único del usuario al que se otorgan permisos.
--grant [read|write] Permiso que se va a otorgar, ya sea de lectura o de escritura.
--revoke [read|write] Permiso que se va a revocar, ya sea de lectura o de escritura. No es compatible en este momento.

vecs-cli store get-permissions

Recupera la configuración de permiso actual para el almacén.

Opción Descripción
--name <name> Nombre del almacén de certificados.

--server <server-name>

Se utiliza para especificar un nombre de servidor si el usuario se conecta a una instancia de VECS remota.

--upn <user-name>

Nombre principal del usuario que se utiliza para iniciar sesión en la instancia de servidor especificada por --server <server-name> . Cuando crea un almacén, se crea en el contexto del usuario actual. En consecuencia, el propietario del almacén es el contexto del usuario actual y no siempre el usuario raíz.

vecs-cli entry create

Crea una entrada en VECS. Utilice este comando para agregar una clave privada o un certificado a un almacén.

Opción Descripción

--store <NameOfStore>

Nombre del almacén de certificados.

--alias <Alias> Alias opcional del certificado. Esta opción se ignora para el almacén raíz de confianza.
--cert <certificate_file_path> Ruta de acceso completa del archivo de certificado.
--key <key-file-path>

Ruta de acceso completa de la clave que corresponde al certificado.

Opcional.
--password <password> Contraseña opcional para cifrar la clave privada.

--server <server-name>

Se utiliza para especificar un nombre de servidor si el usuario se conecta a una instancia de VECS remota.

--upn <user-name>

Nombre principal del usuario que se utiliza para iniciar sesión en la instancia de servidor especificada por --server <server-name> . Cuando crea un almacén, se crea en el contexto del usuario actual. En consecuencia, el propietario del almacén es el contexto del usuario actual y no siempre el usuario raíz.

vecs-cli entry list

Enumera todas las entradas en un almacén especificado.

Opción Descripción
--store <NameOfStore>

Nombre del almacén de certificados.

vecs-cli entry getcert

Recupera un certificado de VECS. Es posible enviar el certificado en un archivo de salida o mostrarlo como texto en lenguaje natural.

Opción Descripción
--store <NameOfStore>

Nombre del almacén de certificados.

--alias <Alias> Alias del certificado.
--output <output_file_path> Archivo donde se escribe el certificado.
--text Muestra una versión del certificado en lenguaje natural.

--server <server-name>

Se utiliza para especificar un nombre de servidor si el usuario se conecta a una instancia de VECS remota.

--upn <user-name>

Nombre principal del usuario que se utiliza para iniciar sesión en la instancia de servidor especificada por --server <server-name> . Cuando crea un almacén, se crea en el contexto del usuario actual. En consecuencia, el propietario del almacén es el contexto del usuario actual y no siempre el usuario raíz.

vecs-cli entry getkey

Recupera una clave almacenada en VECS. Es posible enviar la clave en un archivo de salida o mostrarla como texto en lenguaje natural.

Opción Descripción
--store <NameOfStore>

Nombre del almacén de certificados.

--alias <Alias> Alias de la clave.
--output <output_file_path> Archivo de salida donde se escribe la clave.
--text Muestra una versión de la clave en lenguaje natural.

--server <server-name>

Se utiliza para especificar un nombre de servidor si el usuario se conecta a una instancia de VECS remota.

--upn <user-name>

Nombre principal del usuario que se utiliza para iniciar sesión en la instancia de servidor especificada por --server <server-name> . Cuando crea un almacén, se crea en el contexto del usuario actual. En consecuencia, el propietario del almacén es el contexto del usuario actual y no siempre el usuario raíz.

vecs-cli entry delete

Elimina una entrada de un almacén de certificados. Si se elimina una entrada en VECS, esta se quita de forma permanente de VECS. La única excepción es el certificado raíz actual. VECS sondea vmdir en busca de un certificado raíz.

Opción Descripción
--store <NameOfStore>

Nombre del almacén de certificados.

--alias <Alias> Alias de la entrada que se desea eliminar.

--server <server-name>

Se utiliza para especificar un nombre de servidor si el usuario se conecta a una instancia de VECS remota.

--upn <user-name>

Nombre principal del usuario que se utiliza para iniciar sesión en la instancia de servidor especificada por --server <server-name> . Cuando crea un almacén, se crea en el contexto del usuario actual. En consecuencia, el propietario del almacén es el contexto del usuario actual y no siempre el usuario raíz.

-y Suprime la solicitud de confirmación. Para usuarios avanzados solamente.

vecs-cli force-refresh

Fuerza una actualización de VECS. De forma predeterminada, VECS sondea vmdir cada 5 minutos en busca de archivos de certificado raíz nuevos. Utilice este comando para realizar una actualización inmediata de VECS desde vmdir.

Opción Descripción

--server <server-name>

Se utiliza para especificar un nombre de servidor si el usuario se conecta a una instancia de VECS remota.

--upn <user-name>

Nombre principal del usuario que se utiliza para iniciar sesión en la instancia de servidor especificada por --server <server-name> . Cuando crea un almacén, se crea en el contexto del usuario actual. En consecuencia, el propietario del almacén es el contexto del usuario actual y no siempre el usuario raíz.