Le groupe de commandes vecs-cli vous permet de gérer les instances de VMware Certificate Store (VECS). Utilisez ces commandes en conjonction avec dir-cli et certool pour gérer votre infrastructure de certificats et autres services d'Platform Services Controller.

vecs-cli store create

Crée un magasin de certificats.

Option

Description

--name <name>

Nom du magasin de certificats.

--server <server-name>

Utilisé pour spécifier un nom de serveur si vous vous connectez à une instance distante de VECS.

--upn <user-name>

Nom principal de l'utilisateur utilisé pour se connecter à l'instance de serveur spécifiée par --server <server-name> . Lorsque vous créez un magasin, celui-ci est créé dans le contexte de l'utilisateur actuel. Par conséquent, le propriétaire du magasin est le contexte de l'utilisateur actuel et pas toujours l'utilisateur racine.

Exemple :

vecs-cli store create --name <store>

vecs-cli store delete

Supprime un magasin de certificats. Vous ne pouvez pas supprimer les magasins de système MACHINE_SSL_CERT, TRUSTED_ROOTS et TRUSTED_ROOT_CRLS. Les utilisateurs possédant les privilèges requis peuvent supprimer les magasins d'utilisateurs de solution.

Option

Description

--name <name>

Nom du magasin de certificats à supprimer.

--server <server-name>

Utilisé pour spécifier un nom de serveur si vous vous connectez à une instance distante de VECS.

--upn <user-name>

Nom principal de l'utilisateur utilisé pour se connecter à l'instance de serveur spécifiée par --server <server-name> . Lorsque vous créez un magasin, celui-ci est créé dans le contexte de l'utilisateur actuel. Par conséquent, le propriétaire du magasin est le contexte de l'utilisateur actuel et pas toujours l'utilisateur racine.

Exemple :

vecs-cli store delete --name <store>

vecs-cli store list

Affichez la liste des magasins de certificats.

Option

Description

--server <server-name>

Utilisé pour spécifier un nom de serveur si vous vous connectez à une instance distante de VECS.

--upn <user-name>

Nom principal de l'utilisateur utilisé pour se connecter à l'instance de serveur spécifiée par --server <server-name> . Lorsque vous créez un magasin, celui-ci est créé dans le contexte de l'utilisateur actuel. Par conséquent, le propriétaire du magasin est le contexte de l'utilisateur actuel et pas toujours l'utilisateur racine.

VECS inclut les magasins suivants.

Tableau 1. Magasins dans VECS

Magasin

Description

Magasin de certificats SSL de la machine (MACHINE_SSL_CERT)

  • Utilisé par le service de proxy inverse sur chaque nœud vSphere.

  • Utilisé par VMware Directory Service (vmdir) sur les déploiements intégrés et sur chaque nœud Platform Services Controller.

Tous les services de vSphere 6.0 communiquent par l'intermédiaire d'un proxy inversé qui utilise le certificat SSL de machine. Pour la compatibilité descendante, les services 5.x utilisent toujours des ports spécifiques. En conséquence, certains services tels que vpxd ont toujours leur port ouvert.

Magasin de certificats racine approuvés (TRUSTED_ROOTS)

Contient tous les certificats racines approuvés.

Magasins d'utilisateurs de solution

  • machine

  • vpxd

  • vpxd-extensions

  • vsphere-webclient

VECS inclut un magasin pour chaque utilisateur de solution. L'objet de chaque certificat d'utilisateur de solution doit être unique (par exemple, le certificat de la machine ne peut pas avoir le même objet que le certificat vpxd).

Les certificats d'utilisateurs de solutions sont utilisés pour l'authentification avec vCenter Single Sign-On. vCenter Single Sign-On vérifie que le certificat est valide, mais ne vérifie pas d'autres attributs de certificat. Dans un déploiement intégré, tous les certificats d'utilisateur de la solution se trouvent sur le même système.

Les magasins de certificats d'utilisateurs de solutions suivants sont inclus dans VECS sur chaque nœud de gestion et chaque déploiement intégré :

  • machine : utilisé par le gestionnaire de composants, le serveur de licences et le service de journalisation.

    Remarque :

    Le certificat d'utilisateurs de solution de machine n'a rien à voir avec le certificat SSL de machine. Le certificat d'utilisateur de solution de machine est utilisé pour l'échange de jetons SAML. Le certificat SSL de machine est utilisé pour les connexions SSL sécurisées d'une machine.

  • vpxd : magasin de démon du service vCenter (vpxd) sur les nœuds de gestion et les déploiements intégrés. vpxd utilise le certificat d'utilisateur de solution qui est stocké dans ce magasin pour s'authentifier auprès de vCenter Single Sign-On.

  • vpxd-extensions : magasin d'extensions vCenter. Inclut le service Auto Deploy, Inventory Service et d'autres services ne faisant pas partie d'autres utilisateurs de solution.

  • vsphere-webclient : magasin vSphere Web Client. Inclut également certains services supplémentaires tels que le service de graphiques de performance.

Chaque nœud Platform Services Controller comprend un certificat machine.

Magasin de sauvegardes de vSphere Certificate Manager Utility (BACKUP_STORE)

Utilisé par VMCA (VMware Certificate Manager) pour prendre en charge la restauration de certificat. Seul l'état le plus récent est stocké en tant que sauvegarde ; vous ne pouvez pas revenir en arrière de plus d'une étape.

Autres magasins

D'autres magasins peuvent être ajoutés par des solutions. Par exemple, la solution Virtual Volumes ajoute un magasin SMS. Ne modifiez pas les certificats dans ces magasins, sauf si la documentation VMware ou un article de la base de connaissances VMware vous y invite.

Remarque :

La suppression du magasin TRUSTED_ROOTS_CRLS peut endommager votre infrastructure de certificats. Ne supprimez pas et ne modifiez pas le magasin TRUSTED_ROOTS_CRLS.

Exemple :

vecs-cli store list

vecs-cli store permissions

Accorde ou révoque des autorisations du magasin. Utilisez l'option --grant ou --revoke.

Le propriétaire du magasin peut exécuter toutes les opérations, y compris délivrer et retirer des permissions. L'administrateur du domaine vCenter Single Sign-On local, administrator@vsphere.local par défaut, possède tous les privilèges pour tous les magasins, y compris celui de délivrer et retirer des permissions.

Vous pouvez utiliser vecs-cli get-permissions --name <store-name> pour récupérer les paramètres actuels du magasin.

Option

Description

--name <name>

Nom du magasin de certificats.

--user <username>

Nom unique de l'utilisateur auquel les autorisations sont accordées.

--grant [read|write]

Autorisation à accorder : lecture (read) ou écriture (write).

--revoke [read|write]

Autorisation à révoquer : lecture (read) ou écriture (write). Commande non prise en charge actuellement.

vecs-cli store get-permissions

Retire les paramètres d'autorisation actifs pour le magasin.

Option

Description

--name <name>

Nom du magasin de certificats.

--server <server-name>

Utilisé pour spécifier un nom de serveur si vous vous connectez à une instance distante de VECS.

--upn <user-name>

Nom principal de l'utilisateur utilisé pour se connecter à l'instance de serveur spécifiée par --server <server-name> . Lorsque vous créez un magasin, celui-ci est créé dans le contexte de l'utilisateur actuel. Par conséquent, le propriétaire du magasin est le contexte de l'utilisateur actuel et pas toujours l'utilisateur racine.

vecs-cli entry create

Crée une entrée dans VECS. Utilisez cette commande pour ajouter une clé privée ou un certificat à un magasin.

Option

Description

--store <NameOfStore>

Nom du magasin de certificats.

--alias <Alias>

Alias facultatif du certificat. Cette option est ignorée pour le magasin racine approuvé.

--cert <certificate_file_path>

Chemin complet du fichier de certificat.

--key <key-file-path>

Chemin complet de la clé correspondant au certificat.

Facultatif.

--password <password>

Mot de passe facultatif pour le chiffrement de la clé privée.

--server <server-name>

Utilisé pour spécifier un nom de serveur si vous vous connectez à une instance distante de VECS.

--upn <user-name>

Nom principal de l'utilisateur utilisé pour se connecter à l'instance de serveur spécifiée par --server <server-name> . Lorsque vous créez un magasin, celui-ci est créé dans le contexte de l'utilisateur actuel. Par conséquent, le propriétaire du magasin est le contexte de l'utilisateur actuel et pas toujours l'utilisateur racine.

vecs-cli entry list

Affiche la liste des entrées présentes dans un magasin spécifié.

Option

Description

--store <NameOfStore>

Nom du magasin de certificats.

vecs-cli entry getcert

Récupère un certificat de VECS. Vous pouvez envoyer le certificat vers un fichier de sortie ou l'afficher en tant que texte lisible par l'œil humain.

Option

Description

--store <NameOfStore>

Nom du magasin de certificats.

--alias <Alias>

Alias du certificat.

--output <output_file_path>

Fichier dans lequel écrire le certificat.

--text

Affiche une version du certificat lisible par l'œil humain.

--server <server-name>

Utilisé pour spécifier un nom de serveur si vous vous connectez à une instance distante de VECS.

--upn <user-name>

Nom principal de l'utilisateur utilisé pour se connecter à l'instance de serveur spécifiée par --server <server-name> . Lorsque vous créez un magasin, celui-ci est créé dans le contexte de l'utilisateur actuel. Par conséquent, le propriétaire du magasin est le contexte de l'utilisateur actuel et pas toujours l'utilisateur racine.

vecs-cli entry getkey

Récupère une clé stockée dans VECS. Vous pouvez envoyer la clé vers un fichier de sortie ou l'afficher en tant que texte lisible par l'œil humain.

Option

Description

--store <NameOfStore>

Nom du magasin de certificats.

--alias <Alias>

Alias de la clé.

--output <output_file_path>

Fichier de sortie dans lequel écrire la clé.

--text

Affiche une version de la clé lisible par l'œil humain.

--server <server-name>

Utilisé pour spécifier un nom de serveur si vous vous connectez à une instance distante de VECS.

--upn <user-name>

Nom principal de l'utilisateur utilisé pour se connecter à l'instance de serveur spécifiée par --server <server-name> . Lorsque vous créez un magasin, celui-ci est créé dans le contexte de l'utilisateur actuel. Par conséquent, le propriétaire du magasin est le contexte de l'utilisateur actuel et pas toujours l'utilisateur racine.

vecs-cli entry delete

Supprime une entrée dans un magasin de certificats. Si vous supprimez une entrée dans VECS, vous la supprimez définitivement de VECS. La seule exception est le certificat racine actuel. VECS interroge vmdir pour obtenir un certificat racine.

Option

Description

--store <NameOfStore>

Nom du magasin de certificats.

--alias <Alias>

Alias de l'entrée à supprimer.

--server <server-name>

Utilisé pour spécifier un nom de serveur si vous vous connectez à une instance distante de VECS.

--upn <user-name>

Nom principal de l'utilisateur utilisé pour se connecter à l'instance de serveur spécifiée par --server <server-name> . Lorsque vous créez un magasin, celui-ci est créé dans le contexte de l'utilisateur actuel. Par conséquent, le propriétaire du magasin est le contexte de l'utilisateur actuel et pas toujours l'utilisateur racine.

-y

Supprime l'invite de confirmation. Pour utilisateurs avancés uniquement.

vecs-cli force-refresh

Force l'actualisation de VECS. Par défaut, VECS interroge vmdir toutes les 5 minutes à la recherche de nouveaux fichiers de certificat racine. Utilisez cette commande pour mettre à jour VECS immédiatement à partir de vmdir.

Option

Description

--server <server-name>

Utilisé pour spécifier un nom de serveur si vous vous connectez à une instance distante de VECS.

--upn <user-name>

Nom principal de l'utilisateur utilisé pour se connecter à l'instance de serveur spécifiée par --server <server-name> . Lorsque vous créez un magasin, celui-ci est créé dans le contexte de l'utilisateur actuel. Par conséquent, le propriétaire du magasin est le contexte de l'utilisateur actuel et pas toujours l'utilisateur racine.