Puede administrar los certificados VMCA (VMware Certificate Authority), VECS (VMware Endpoint Certificate Store), VMware Directory Service (vmdir) y del servicio de token de seguridad (STS) mediante un conjunto de CLI. La utilidad vSphere Certificate Manager también admite muchas tareas relacionadas, pero las CLI son necesarias para la administración manual de certificados y para administrar otros servicios.
Normalmente, las herramientas de CLI se usan para administrar los certificados y los servicios asociados mediante SSH con el fin de conectarse al shell del dispositivo. Consulte el artículo de la base de conocimientos de VMware en https://kb.vmware.com/s/article/2100508 para obtener más información.
Reemplazar certificados de vSphere de forma manual proporciona ejemplos de reemplazo de certificados mediante comandos de CLI.
CLI | Descripción | Consulte |
---|---|---|
certool | Genere y administre certificados y claves. Parte de VMCAD, el servicio VMware Certificate Management. | |
vecs-cli | Administre el contenido de las instancias de VMware Certificate Store. Parte de VMware Authentication Framework Daemon (VMAFD). | Referencia de comandos vecs-cli |
dir-cli | Cree y actualice los certificados en VMware Directory Service. Parte de VMAFD. | Referencia de comando dir-cli |
sso-config.sh | Administre certificados de STS. | Ayuda de línea de comandos. Al introducir sso-config.sh sin opciones, se muestra la ayuda de la línea de comandos. |
service-control | Inicie o detenga los servicios (por ejemplo, como parte de un flujo de trabajo de reemplazo de certificados). | Ejecute este comando para detener los servicios antes de ejecutar otros comandos de la CLI. |
Ubicaciones de la CLI de vSphere
De forma predeterminada, las CLI se encuentran en las siguientes ubicaciones.
/usr/lib/vmware-vmafd/bin/vecs-cli /usr/lib/vmware-vmafd/bin/dir-cli /usr/lib/vmware-vmca/bin/certool /opt/vmware/bin/sso-config.sh
Privilegios necesarios para ejecutar las CLI de vSphere
Los privilegios necesarios dependen de la CLI que esté usando y del comando que quiera ejecutar. Por ejemplo, para la mayoría de las operaciones de administración de certificados, tiene que ser administrador para el dominio de vCenter Single Sign-On local (vsphere.local de manera predeterminada). Algunos comandos están disponibles para todos los usuarios.
- dir-cli
- Debe ser miembro de un grupo de administradores en el dominio local (vsphere.local de manera predeterminada) para ejecutar los comandos dir-cli. Si no especifica un nombre de usuario y una contraseña, se le pedirá la contraseña para el administrador del dominio de vCenter Single Sign-On local, [email protected] de manera predeterminada.
- vecs-cli
- Inicialmente, solo el propietario del almacén y los usuarios con privilegios de acceso ilimitado tienen acceso a un almacén. Los usuarios del grupo Administradores tienen privilegios de acceso global.
Cambiar las opciones de configuración de certool
Al ejecutar certool --gencert
u otros comandos específicos de inicialización o administración de certificados, el comando lee todos los valores de un archivo de configuración. Puede editar el archivo existente, anular el archivo de configuración predeterminado con la opción -–config=<file name>
o anular los diferentes valores en la línea de comandos.
El archivo de configuración, certool.cfg, se encuentra en el directorio /usr/lib/vmware-vmca/share/config/ de forma predeterminada.
El archivo tiene varios campos con los siguientes valores predeterminados:
Country = US Name= Acme Organization = AcmeOrg OrgUnit = AcmeOrg Engineering State = California Locality = Palo Alto IPAddress = 127.0.0.1 Email = [email protected] Hostname = server.acme.com
- Cree una copia del archivo de configuración y edite el archivo. Use la opción de línea de comandos --config para especificar el archivo. Especifique la ruta completa para evitar problemas con el nombre de la ruta.
-
/usr/lib/vmware-vmca/bin/certool -–gencert --config /tmp/myconfig.cfg
- Anule los valores individuales en la línea de comandos. Por ejemplo, para anular la localidad, ejecute el siguiente comando:
/usr/lib/vmware-vmca/bin/certool -–gencert -–privkey=private.key –-Locality="Mountain View"
- Para los certificados de usuarios de solución, el nombre es <sol_user name>@<domain> por convención, pero puede cambiarlo si se utiliza una convención diferente en el entorno.
- Para los certificados SSL de máquina, se utiliza el FQDN de la máquina.
VMCA permite solo un DNSName (en el campo Hostname) y ninguna otra opción de alias. Si es el usuario quien especifica la dirección IP, esta también se almacena en SubAltName.