Le groupe de commandes vecs-cli vous permet de gérer les instances de VMware Certificate Store (VECS). Utilisez ces commandes en conjonction avec dir-cli et certool pour gérer votre infrastructure de certificats et vos services d'authentification.

vecs-cli store create

Crée un magasin de certificats.

Option Description
--name <name> Nom du magasin de certificats.

--server <server-name>

Utilisé pour spécifier un nom de serveur si vous vous connectez à une instance distante de VECS.

--upn <user-name>

Nom principal de l'utilisateur utilisé pour se connecter à l'instance de serveur spécifiée par --server <server-name> . Lorsque vous créez un magasin, celui-ci est créé dans le contexte de l'utilisateur actuel. Par conséquent, le propriétaire du magasin est le contexte de l'utilisateur actuel et pas toujours l'utilisateur racine.

Exemple :
vecs-cli store create --name <store>

vecs-cli store delete

Supprime un magasin de certificats. Vous ne pouvez pas supprimer les magasins de système MACHINE_SSL_CERT, TRUSTED_ROOTS et TRUSTED_ROOT_CRLS. Les utilisateurs possédant les privilèges requis peuvent supprimer les magasins d'utilisateurs de solution.

Option Description
--name <name> Nom du magasin de certificats à supprimer.

--server <server-name>

Utilisé pour spécifier un nom de serveur si vous vous connectez à une instance distante de VECS.

--upn <user-name>

Nom principal de l'utilisateur utilisé pour se connecter à l'instance de serveur spécifiée par --server <server-name> . Lorsque vous créez un magasin, celui-ci est créé dans le contexte de l'utilisateur actuel. Par conséquent, le propriétaire du magasin est le contexte de l'utilisateur actuel et pas toujours l'utilisateur racine.

Exemple :
vecs-cli store delete --name <store>

vecs-cli store list

Affichez la liste des magasins de certificats.

Option Description

--server <server-name>

Utilisé pour spécifier un nom de serveur si vous vous connectez à une instance distante de VECS.

--upn <user-name>

Nom principal de l'utilisateur utilisé pour se connecter à l'instance de serveur spécifiée par --server <server-name> . Lorsque vous créez un magasin, celui-ci est créé dans le contexte de l'utilisateur actuel. Par conséquent, le propriétaire du magasin est le contexte de l'utilisateur actuel et pas toujours l'utilisateur racine.

VECS inclut les magasins suivants.
Tableau 1. Magasins dans VECS
Magasin Description
Magasin de certificats SSL de la machine (MACHINE_SSL_CERT)
  • Utilisé par le service de proxy inverse sur chaque nœud vSphere.
  • Utilisé par le service VMware Directory Service (vmdir) sur chaque nœud vCenter Server.

Tous les services de vSphere 6.0 ou versions ultérieures communiquent par l'intermédiaire d'un proxy inversé qui utilise le certificat SSL de machine. Pour la compatibilité descendante, les services 5.x utilisent toujours des ports spécifiques. En conséquence, certains services tels que vpxd ont toujours leur port ouvert.

Magasins d'utilisateurs de solution
  • machine
  • vpxd
  • vpxd-extension
  • vsphere-webclient
  • wcp
VECS inclut un magasin pour chaque utilisateur de solution. L'objet de chaque certificat d'utilisateur de solution doit être unique (par exemple, le certificat de la machine ne peut pas avoir le même objet que le certificat vpxd).

Les certificats d'utilisateurs de solutions sont utilisés pour l'authentification avec vCenter Single Sign-On. vCenter Single Sign-On vérifie que le certificat est valide, mais ne vérifie pas les autres attributs du certificat.

Les magasins de certificats d'utilisateur de solution suivants sont inclus dans VECS :

  • machine : utilisé par le serveur de licences et le service de journalisation.
    Note : Le certificat d'utilisateurs de solution de machine n'a rien à voir avec le certificat SSL de machine. Le certificat d'utilisateur de solution de machine est utilisé pour l'échange de jetons SAML. Le certificat SSL de machine est utilisé pour les connexions SSL sécurisées d'une machine.
  • vpxd : magasin du démon de service vCenter (vpxd). vpxd utilise le certificat d'utilisateur de solution stocké dans ce magasin pour s'authentifier sur vCenter Single Sign-On.
  • vpxd-extension : magasin d'extensions vCenter. Inclut le service Auto Deploy, Inventory Service et d'autres services ne faisant pas partie d'autres utilisateurs de solution.
  • vsphere-webclient : magasin vSphere Client. Inclut également certains services supplémentaires tels que le service de graphiques de performance.
  • wcp : magasin VMware vSphere® with VMware Tanzu™. Également utilisé pour vSphere Cluster Services.

Chaque nœud vCenter Server comprend un certificat machine.

Magasin de certificats racine approuvés (TRUSTED_ROOTS) Contient tous les certificats racines approuvés.
Magasin de sauvegardes de vSphere Certificate Manager Utility (BACKUP_STORE) Utilisé par VMCA (VMware Certificate Manager) pour prendre en charge la restauration de certificat. Seul l'état le plus récent est stocké en tant que sauvegarde ; vous ne pouvez pas revenir en arrière de plus d'une étape.
Autres magasins D'autres magasins peuvent être ajoutés par des solutions. Par exemple, la solution Virtual Volumes ajoute un magasin SMS. Ne modifiez pas les certificats dans ces magasins, sauf si la documentation VMware ou un article de la base de connaissances VMware vous y invite.
Note : La suppression du magasin TRUSTED_ROOTS_CRLS peut endommager votre infrastructure de certificats. Ne supprimez pas et ne modifiez pas le magasin TRUSTED_ROOTS_CRLS.
Exemple :
vecs-cli store list

vecs-cli store permissions

Accorde ou révoque des autorisations du magasin. Utilisez l'option --grant ou --revoke.

Le propriétaire du magasin peut exécuter toutes les opérations, y compris délivrer et retirer des permissions. L'administrateur du domaine vCenter Single Sign-On local, [email protected] par défaut, possède tous les privilèges pour tous les magasins, y compris celui de délivrer et retirer des permissions.

Vous pouvez utiliser vecs-cli get-permissions --name <store-name> pour récupérer les paramètres actuels du magasin.

Option Description
--name <name> Nom du magasin de certificats.
--user <username> Nom unique de l'utilisateur auquel les autorisations sont accordées.
--grant [read|write] Autorisation à accorder : lecture (read) ou écriture (write).
--revoke [read|write] Autorisation à révoquer : lecture (read) ou écriture (write). Commande non prise en charge actuellement.

vecs-cli store get-permissions

Retire les paramètres d'autorisation actifs pour le magasin.

Option Description
--name <name> Nom du magasin de certificats.

--server <server-name>

Utilisé pour spécifier un nom de serveur si vous vous connectez à une instance distante de VECS.

--upn <user-name>

Nom principal de l'utilisateur utilisé pour se connecter à l'instance de serveur spécifiée par --server <server-name> . Lorsque vous créez un magasin, celui-ci est créé dans le contexte de l'utilisateur actuel. Par conséquent, le propriétaire du magasin est le contexte de l'utilisateur actuel et pas toujours l'utilisateur racine.

vecs-cli entry create

Crée une entrée dans VECS. Utilisez cette commande pour ajouter une clé privée ou un certificat à un magasin.

Note : N'utilisez pas cette commande pour ajouter des certificats racines au magasin TRUSTED_ROOTS. Utilisez plutôt la commande dir-cli pour publier des certificats racines.
Option Description

--store <NameOfStore>

Nom du magasin de certificats.

--alias <Alias> Alias facultatif du certificat. Cette option est ignorée pour le magasin racine approuvé.
--cert <certificate_file_path> Chemin complet du fichier de certificat.
--key <key-file-path>

Chemin complet de la clé correspondant au certificat.

Facultatif.
--password <password> Mot de passe facultatif pour le chiffrement de la clé privée.

--server <server-name>

Utilisé pour spécifier un nom de serveur si vous vous connectez à une instance distante de VECS.

--upn <user-name>

Nom principal de l'utilisateur utilisé pour se connecter à l'instance de serveur spécifiée par --server <server-name> . Lorsque vous créez un magasin, celui-ci est créé dans le contexte de l'utilisateur actuel. Par conséquent, le propriétaire du magasin est le contexte de l'utilisateur actuel et pas toujours l'utilisateur racine.

vecs-cli entry list

Affiche la liste des entrées présentes dans un magasin spécifié.

Option Description
--store <NameOfStore>

Nom du magasin de certificats.

vecs-cli entry getcert

Récupère un certificat de VECS. Vous pouvez envoyer le certificat vers un fichier de sortie ou l'afficher en tant que texte lisible par l'œil humain.

Option Description
--store <NameOfStore>

Nom du magasin de certificats.

--alias <Alias> Alias du certificat.
--output <output_file_path> Fichier dans lequel écrire le certificat.
--text Affiche une version du certificat lisible par l'œil humain.

--server <server-name>

Utilisé pour spécifier un nom de serveur si vous vous connectez à une instance distante de VECS.

--upn <user-name>

Nom principal de l'utilisateur utilisé pour se connecter à l'instance de serveur spécifiée par --server <server-name> . Lorsque vous créez un magasin, celui-ci est créé dans le contexte de l'utilisateur actuel. Par conséquent, le propriétaire du magasin est le contexte de l'utilisateur actuel et pas toujours l'utilisateur racine.

vecs-cli entry getkey

Récupère une clé stockée dans VECS. Vous pouvez envoyer la clé vers un fichier de sortie ou l'afficher en tant que texte lisible par l'œil humain.

Option Description
--store <NameOfStore>

Nom du magasin de certificats.

--alias <Alias> Alias de la clé.
--output <output_file_path> Fichier de sortie dans lequel écrire la clé.
--text Affiche une version de la clé lisible par l'œil humain.

--server <server-name>

Utilisé pour spécifier un nom de serveur si vous vous connectez à une instance distante de VECS.

--upn <user-name>

Nom principal de l'utilisateur utilisé pour se connecter à l'instance de serveur spécifiée par --server <server-name> . Lorsque vous créez un magasin, celui-ci est créé dans le contexte de l'utilisateur actuel. Par conséquent, le propriétaire du magasin est le contexte de l'utilisateur actuel et pas toujours l'utilisateur racine.

vecs-cli entry delete

Supprime une entrée dans un magasin de certificats. Si vous supprimez une entrée dans VECS, vous la supprimez définitivement de VECS. La seule exception est le certificat racine actuel. VECS interroge vmdir pour obtenir un certificat racine.

Option Description
--store <NameOfStore>

Nom du magasin de certificats.

--alias <Alias> Alias de l'entrée à supprimer.

--server <server-name>

Utilisé pour spécifier un nom de serveur si vous vous connectez à une instance distante de VECS.

--upn <user-name>

Nom principal de l'utilisateur utilisé pour se connecter à l'instance de serveur spécifiée par --server <server-name> . Lorsque vous créez un magasin, celui-ci est créé dans le contexte de l'utilisateur actuel. Par conséquent, le propriétaire du magasin est le contexte de l'utilisateur actuel et pas toujours l'utilisateur racine.

-y Supprime l'invite de confirmation. Pour utilisateurs avancés uniquement.

vecs-cli force-refresh

Force l'actualisation de VECS. Par défaut, VECS interroge vmdir toutes les 5 minutes à la recherche de nouveaux fichiers de certificat racine. Utilisez cette commande pour mettre à jour VECS immédiatement à partir de vmdir.

Option Description

--server <server-name>

Utilisé pour spécifier un nom de serveur si vous vous connectez à une instance distante de VECS.

--upn <user-name>

Nom principal de l'utilisateur utilisé pour se connecter à l'instance de serveur spécifiée par --server <server-name> . Lorsque vous créez un magasin, celui-ci est créé dans le contexte de l'utilisateur actuel. Par conséquent, le propriétaire du magasin est le contexte de l'utilisateur actuel et pas toujours l'utilisateur racine.