Vous gérez des certificats vCenter Server depuis vSphere Client ou en utilisant une API, des scripts ou des interfaces de ligne de commande.

Le tableau suivant décrit les interfaces que vous pouvez utiliser pour gérer des certificats vCenter Server.

Tableau 1. Interfaces de gestion des certificats vSphere
Interface Description
vSphere Client Interface Web (client basé sur HTML5). Reportez-vous à la section Gestion des certificats avec vSphere Client.
API de vSphere Automation Consultez le Guide de programmation des SDK de VMware vSphere Automation.
Utilitaire de gestion de certificats Outil de ligne de commande prenant en charge la génération d'une demande de signature de certificat (CSR) et le remplacement des certificats. Reportez-vous à la section Gestion des certificats à l’aide de l’utilitaire vSphere Certificate Manager.
Interfaces de ligne de commande pour la gestion des services de certificat et d'annuaire Ensemble de commandes pour la gestion des certificats, le magasin de certificats VMware Endpoint (VECS) et VMware Directory Service (vmdir). Reportez-vous à la section Référence des commandes CLI vSphere Certificates and Services.

Gestion des certificats vCenter Server avec vSphere Client

Vous pouvez gérer les certificats vCenter Server dans vSphere Client.

Procédure

  1. Connectez-vous à une instance de vCenter Server en tant qu'utilisateur disposant de privilèges d'administrateur dans le domaine vCenter Single Sign-On local.
    Le domaine par défaut est vsphere.local.
  2. Sélectionnez Administration.
  3. Sous Certificats, cliquez sur Gestion des certificats.
    Des onglets de certificat s'affichent pour les différents types de certificats.
  4. Effectuez des tâches de certificat, telles que l'affichage des détails de certificat, le renouvellement ou l'actualisation du certificat et l'ajout d'un certificat racine approuvé.
    Pour plus d'informations, consultez Gestion des certificats avec vSphere Client.

Gérer les certificats vCenter Server à l'aide des interfaces de ligne de commande

vCenter Server inclut des interfaces de ligne de commande pour la génération de demandes de signature de certificat (CSR), la gestion des certificats et la gestion des services.

Par exemple, vous pouvez utiliser la commande certool pour générer des demandes de signature de certificat et remplacer des certificats.

Utilisez les interfaces de ligne de commande pour les tâches de gestion non prises en charge par vSphere Client ou pour créer des scripts personnalisés pour votre environnement.

Tableau 2. Interfaces de ligne de commande pour la gestion de certificats vCenter Server et des services associés
CLI Description Liens
certool Génère et gère les certificats et les clés. Partie de VMCA (VMware Certificate Authority).

Référence des commandes d'initialisation de certool

vecs-cli Gère les contenus des instances de VMware Certificate Store. Partie du démon VMAFD (VMware Authentication Framework Daemon) Référence des commandes vecs-cli
dir-cli Crée et met à jour les certificats dans le Vmware Directory Service. Fait partie de VMAFD. Référence des commandes dir-cli
sso-config Mettez à jour les certificats STS (Security Token Service). Remplacer un certificat STS vCenter Server à l'aide de la ligne de commande
service-control Commande de démarrage, d'arrêt et d'énumération de services Exécutez cette commande pour arrêter les services avant d'exécuter d'autres commandes d'interface de ligne de commande.

Conditions préalables

Activez la connexion SSH à vCenter Server. Vous pouvez utiliser l'onglet Accès de l'interface de gestion de vCenter Server (https://vcenter_server_ip:5480) pour l'activation et la désactivation de la connexion SSH.

Procédure

  1. Connectez-vous à l'interpréteur de commande vCenter Server.
    Généralement, vous devez être l'utilisateur racine ou administrateur. Reportez-vous à Privilèges requis pour l'exécution des CLI vSphere pour plus de détails.
  2. Accédez à une interface de ligne de commande à l'un des emplacements par défaut suivants.
    Les privilèges requis dépendent de la tâche à effectuer. Vous êtes parfois invité à entrer le mot de passe deux fois à des fins de protection des informations sensibles. 
    /usr/lib/vmware-vmafd/bin/vecs-cli
/usr/lib/vmware-vmafd/bin/dir-cli
/usr/lib/vmware-vmca/bin/certool
/opt/vmware/bin/sso-config.sh

    La commande service-control n'impose pas l'entrée du chemin.

    Pour plus d'informations, consultez Remplacement manuel des certificats vSphere.