Le groupe de commandes vecs-cli vous permet de gérer les instances de VECS (VMware Certificate Store). Utilisez ces commandes en conjonction avec dir-cli et certool pour gérer votre infrastructure de certificats.

vecs-cli store create

Crée un magasin de certificats.

Option

Description

--name <name>

Nom du magasin de certificats.

Exemple  :

vecs-cli store create --name <store>

vecs-cli store delete

Supprime un magasin de certificats. Vous ne pouvez pas supprimer les magasins de certificats prédéfinis par le système.

Option

Description

--name <name>

Nom du magasin de certificats à supprimer.

Exemple  :

vecs-cli store delete --name <store>

vecs-cli store list

Affichez la liste des magasins de certificats.

VECS inclut les magasins suivants.

Tableau 1. Magasins dans VECS

Magasin

Description

Magasin de certificats SSL de la machine (MACHINE_SSL_CERT)

  • Utilisé par le service de proxy inverse sur chaque nœud vSphere.

  • Utilisé par le service d'annuaire VMware (vmdir) sur les déploiements intégrés et sur chaque nœud Platform Services Controller.

Tous les services de vSphere 6.0 communiquent par l'intermédiaire d'un proxy inversé qui utilise le certificat SSL de machine. Pour la compatibilité descendante, les services 5.x utilisent toujours des ports spécifiques. En conséquence, certains services tels que vpxd ont toujours leur port ouvert.

Magasin de certificats racine approuvés (TRUSTED_ROOTS)

Contient tous les certificats racines approuvés.

Magasins d'utilisateurs de solution

  • virtuelle

  • vpxd

  • vpxd-extensions

  • vsphere-webclient

VECS inclut un magasin pour chaque utilisateur de solution. L'objet de chaque certificat d'utilisateur de solution doit être unique (par exemple, le certificat de la machine ne peut pas avoir le même objet que le certificat vpxd).

Les certificats d'utilisateurs de solutions sont utilisés pour l'authentification avec vCenter Single Sign-On. vCenter Single Sign-On vérifie que le certificat est valide, mais ne vérifie pas d'autres attributs de certificat. Dans un déploiement intégré, tous les certificats d'utilisateur de la solution se trouvent sur le même système.

Les magasins de certificats d'utilisateurs de solutions sont inclus dans VECS sur chaque nœud de gestion et chaque déploiement intégré :

  • machine : Utilisé par le gestionnaire de composants, le serveur de licences et le service de journalisation.

    Remarque :

    Le certificat d'utilisateurs de solution de machine n'a rien à voir avec le certificat SSL de machine. Le certificat d'utilisateur de solution de machine est utilisé pour l'échange de jetons SAML ; le certificat SSL de machine est utilisé pour les connexions SSL sécurisées d'une machine.

  • vpxd : Magasin du démon de service vCenter (vpxd) sur les nœuds de gestion et les déploiements intégrés. vpxd utilise le certificat d'utilisateur de solution de ce magasin pour s'authentifier auprès de vCenter Single Sign-On.

  • vpxd-extensions : Magasin d'extensions vCenter. Inclut le service Auto Deploy, Inventory Service et d'autres services ne faisant pas partie d'autres utilisateurs de solution.

  • vsphere-webclient : Magasin vSphere Web Client. Inclut également certains services supplémentaires tels que le service de graphiques de performance.

Le magasin de machines est également inclus sur chaque nœud Platform Services Controller.

Magasin de sauvegardes de vSphere Certificate Manager Utility (BACKUP_STORE)

Utilisé par VMCA (VMware Certificate Manager) pour prendre en charge la restauration de certificat. Seul l'état le plus récent est stocké en tant que sauvegarde ; vous ne pouvez pas revenir en arrière de plus d'une étape.

Autres magasins

D'autres magasins peuvent être ajoutés par des solutions. Par exemple, la solution Virtual Volumes ajoute un magasin SMS. Ne modifiez pas les certificats dans ces magasins, sauf si la documentation VMware ou la base de connaissances VMware vous y invite.

Remarque :

Les CRLS ne sont pas pris en charge dans vSphere 6.0. Néanmoins, la suppression du magasin TRUSTED_ROOTS_CRLS peut endommager votre infrastructure de certificats. Ne supprimez pas et ne modifiez pas le magasin TRUSTED_ROOTS_CRLS.

Exemple  :

vecs-cli store list

vecs-cli store permissions

Accorde ou révoque des autorisations du magasin. Utilisez l'option --grant ou --revoke.

Le propriétaire du magasin contrôle l'intégralité de son magasin, y compris l'octroi et la révocation des autorisations. L'administrateur possède tous les privilèges sur tous les magasins, y compris l'octroi et la révocation des autorisations.

Vous pouvez utiliser vecs-cli get-permissions --name <store-name> pour récupérer les paramètres actuels du magasin.

Option

Description

--name <name>

Nom du magasin de certificats.

--user <username>

Nom unique de l'utilisateur auquel les autorisations sont accordées.

--grant [read|write]

Autorisation à accorder : lecture (read) ou écriture (write).

--revoke [read|write]

Autorisation à révoquer : lecture (read) ou écriture (write). Commande non prise en charge actuellement.

vecs-cli entry create

Créez une entrée dans VECS. Utilisez cette commande pour ajouter une clé privée ou un certificat à un magasin.

Option

Description

--store <NameOfStore>

Nom du magasin de certificats.

--alias <Alias>

Alias facultatif du certificat. Cette option est ignorée pour le magasin racine approuvé.

--cert <certificate_file_path>

Chemin complet du fichier de certificat.

--key <key-file-path>

Chemin complet de la clé correspondant au certificat.

Facultatif.

vecs-cli entry list

Affichez la liste des entrées présentes dans un magasin spécifié.

Option

Description

--store <NameOfStore>

Nom du magasin de certificats.

--text

Affiche une version du certificat lisible par l'œil humain.

vecs-cli entry getcert

Récupérez un certificat de VECS. Vous pouvez envoyer le certificat vers un fichier de sortie ou l'afficher en tant que texte lisible par l'œil humain.

Option

Description

--store <NameOfStore>

Nom du magasin de certificats.

--alias <Alias>

Alias du certificat.

--output <output_file_path>

Fichier dans lequel écrire le certificat.

--text

Affiche une version du certificat lisible par l'œil humain.

vecs-cli entry getkey

Récupérez une clé stockée dans VECS. Vous pouvez envoyer le certificat vers un fichier de sortie ou l'afficher en tant que texte lisible par l'œil humain.

Option

Description

--store <NameOfStore>

Nom du magasin de certificats.

--alias <Alias>

Alias de la clé.

--output <output_file_path>

Fichier de sortie dans lequel écrire la clé.

--text

Affiche une version de la clé lisible par l'œil humain.

vecs-cli entry delete

Supprimez une entrée dans un magasin de certificats. Si vous supprimez une entrée dans VECS, vous la supprimez définitivement de VECS. La seule exception est le certificat racine actuel. VECS interroge vmdir pour obtenir un certificat racine.

Option

Description

--store <NameOfStore>

Nom du magasin de certificats.

--alias <Alias>

Alias de l'entrée à supprimer.

vecs-cli force-refresh

Force l'actualisation de vecs-cli. Lorsque cela se produit, la commande vecs-cli est mise à jour de manière à utiliser les informations les plus récentes dans vmdir.. Par défaut, VECS interroge vmdir toutes les 5 minutes à la recherche de nouveaux fichiers de certificat racine. Utilisez cette commande pour mettre à jour VECS immédiatement à partir de vmdir.