Pour la plupart des opérations de gestion de certificat vCenter, vous devez être membre du groupe CAAdmins du domaine vsphere.local. L'utilisateur administrator@vsphere.local est membre du groupe CAAdmins. Certaines opérations sont autorisées pour tous les utilisateurs.

Si vous exécutez l'utilitaire vCenter Certificate Manager, vous êtes invité à saisir le mot de passe d'administrator@vsphere.local. Si vous remplacez les certificats manuellement, différentes options, pour les différentes interfaces de ligne de commmande de gestion de certificat, requièrent différents privilèges.

dir-cli

Vous devez être membre du groupe CAAdmins du domaine vsphere.local. Vous êtes invité à saisir un nom d'utilisateur et un mot de passe chaque fois que vous exécutez une commande dir-cli.

vecs-cli

Au départ, seul le propriétaire du magasin a accès à ce dernier. Le propriétaire du magasin est l'utilisateur Administrateur sur les systèmes Windows et l'utilisateur racine sur les système Linux. Le propriétaire du magasin peut offrir un accès aux autres utilisateurs.

Les magasins MACHINE_SSL_CERT et TRUSTED_ROOTS sont particuliers. Seul l'utilisateur racine ou l'utilisateur Administrateur, selon le type d'installation, dispose d'un accès total à ces magasins.

certool

La plupart des commandes certool nécessitent que l'utilisateur soit membre du groupe CAAdmins. L'utilisateur administrator@vsphere.local est membre du groupe CAAdmins. Tous les utilisateurs peuvent exécuter les commandes suivantes :

  • genselfcacert

  • initscr

  • getdc

  • waitVMDIR

  • waitVMCA

  • genkey

  • viewcert

Pour la gestion des certificats des hôtes ESXi, vous devez avoir le privilège Certificates > Gérer les certificats. Vous pouvez définir ce privilège à partir de vSphere Web Client.