Puede administrar los certificados VMCA (VMware Certificate Authority), VECS (VMware Endpoint Certificate Store), VMware Directory Service (vmdir) y del servicio de token de seguridad (STS) mediante un conjunto de CLI. La utilidad vSphere Certificate Manager también admite muchas tareas relacionadas, pero las CLI son necesarias para la administración manual de certificados y para administrar otros servicios.

Normalmente, las herramientas de CLI se usan para administrar los certificados y los servicios asociados mediante SSH con el fin de conectarse al shell del dispositivo. Consulte el artículo de la base de conocimientos de VMware en https://kb.vmware.com/s/article/2100508 para obtener más información.

Reemplazar certificados de vSphere de forma manual proporciona ejemplos de reemplazo de certificados mediante comandos de CLI.

Tabla 1. vSphere CLI Tools para administrar certificados y servicios asociados
CLI Descripción Consulte
certool Genere y administre certificados y claves. Parte de VMCAD, el servicio VMware Certificate Management.

Referencia de comandos de inicialización de certool

vecs-cli Administre el contenido de las instancias de VMware Certificate Store. Parte de VMware Authentication Framework Daemon (VMAFD). Referencia de comandos vecs-cli
dir-cli Cree y actualice los certificados en VMware Directory Service. Parte de VMAFD. Referencia de comando dir-cli
sso-config.sh Administre certificados de STS. Ayuda de línea de comandos. Al introducir sso-config.sh sin opciones, se muestra la ayuda de la línea de comandos.
service-control Inicie o detenga los servicios (por ejemplo, como parte de un flujo de trabajo de reemplazo de certificados).

Ejecute este comando para detener los servicios antes de ejecutar otros comandos de la CLI.

Ubicaciones de la CLI de vSphere

De forma predeterminada, las CLI se encuentran en las siguientes ubicaciones. 

/usr/lib/vmware-vmafd/bin/vecs-cli
/usr/lib/vmware-vmafd/bin/dir-cli
/usr/lib/vmware-vmca/bin/certool
/opt/vmware/bin/sso-config.sh
Nota: El comando service-control no requiere que especifique la ruta de acceso.

Privilegios necesarios para ejecutar las CLI de vSphere

Los privilegios necesarios dependen de la CLI que esté usando y del comando que quiera ejecutar. Por ejemplo, para la mayoría de las operaciones de administración de certificados, tiene que ser administrador para el dominio de vCenter Single Sign-On local (vsphere.local de manera predeterminada). Algunos comandos están disponibles para todos los usuarios.

dir-cli
Debe ser miembro de un grupo de administradores en el dominio local (vsphere.local de manera predeterminada) para ejecutar los comandos dir-cli. Si no especifica un nombre de usuario y una contraseña, se le pedirá la contraseña para el administrador del dominio de vCenter Single Sign-On local, [email protected] de manera predeterminada.
vecs-cli
Inicialmente, solo el propietario del almacén y los usuarios con privilegios de acceso ilimitado tienen acceso a un almacén. Los usuarios del grupo Administradores tienen privilegios de acceso global.
Los almacenes MACHINE_SSL_CERT y TRUSTED_ROOTS son almacenes especiales. Solo el usuario raíz o el usuario administrador, según el tipo de instalación, tienen acceso total.
certool
La mayoría de los comandos certool requieren que el usuario esté en el grupo de administradores. Todos los usuarios pueden ejecutar los siguientes comandos.
  • genselfcacert
  • initscr
  • getdc
  • waitVMDIR
  • waitVMCA
  • genkey
  • viewcert

Cambiar las opciones de configuración de certool

Al ejecutar certool --gencert u otros comandos específicos de inicialización o administración de certificados, el comando lee todos los valores de un archivo de configuración. Puede editar el archivo existente, anular el archivo de configuración predeterminado con la opción -–config=<file name> o anular los diferentes valores en la línea de comandos.

El archivo de configuración, certool.cfg, se encuentra en el directorio /usr/lib/vmware-vmca/share/config/ de forma predeterminada.

El archivo tiene varios campos con los siguientes valores predeterminados: 

Country = US
Name= Acme
Organization = AcmeOrg
OrgUnit = AcmeOrg Engineering
State = California 
Locality = Palo Alto
IPAddress = 127.0.0.1	
Email = [email protected]
Hostname = server.acme.com
Nota: El campo OU (organizationalUnitName) ya no es obligatorio.
Puede cambiar los valores especificando un archivo modificado en la línea de comandos o anulando valores individuales en la línea de comandos, de la siguiente manera.
  • Cree una copia del archivo de configuración y edite el archivo. Use la opción de línea de comandos --config para especificar el archivo. Especifique la ruta completa para evitar problemas con el nombre de la ruta. 
  • /usr/lib/vmware-vmca/bin/certool -–gencert --config /tmp/myconfig.cfg
  • Anule los valores individuales en la línea de comandos. Por ejemplo, para anular la localidad, ejecute el siguiente comando: 
    /usr/lib/vmware-vmca/bin/certool -–gencert -–privkey=private.key –-Locality="Mountain View"
Especifique --Name para reemplazar el campo Nombre común del nombre de asunto del certificado.
  • Para los certificados de usuarios de solución, el nombre es <sol_user name>@<domain> por convención, pero puede cambiarlo si se utiliza una convención diferente en el entorno.
  • Para los certificados SSL de máquina, se utiliza el FQDN de la máquina.

    VMCA permite solo un DNSName (en el campo Hostname) y ninguna otra opción de alias. Si es el usuario quien especifica la dirección IP, esta también se almacena en SubAltName.

Use el parámetro --Hostname para especificar el DNSName de SubAltName del certificado.