Il set di comandi vecs-cli consente di gestire le istanze di VMware Certificate Store (VECS). Utilizzare questi comandi insieme ai comandi dir-cli e certool per gestire l'infrastruttura del certificato e i servizi di autenticazione.

vecs-cli store create

Crea un archivio di certificati.

Opzione Descrizione
--name <name> Nome dell'archivio certificati.

--server <server-name>

Utilizzato per specificare il nome di un server se ci si connette a un'istanza di VECS remota.

--upn <user-name>

Nome dell'entità utente (UPN) utilizzato per accedere all'istanza del server specificata da --server <server-name> . Quando si crea un archivio, viene creato nel contesto dell'utente corrente. Pertanto, il proprietario dell'archivio è il contesto dell'utente corrente e non sempre l'utente root.

Esempio: 
vecs-cli store create --name <store>

vecs-cli store delete

Elimina un archivio di certificati. Non è possibile eliminare gli archivi di sistema MACHINE_SSL_CERT, TRUSTED_ROOTS e TRUSTED_ROOT_CRLS. Gli utenti dotati dei privilegi necessari possono eliminare gli archivi utenti della soluzione.

Opzione Descrizione
--name <name> Nome dell'archivio certificati da eliminare.

--server <server-name>

Utilizzato per specificare il nome di un server se ci si connette a un'istanza di VECS remota.

--upn <user-name>

Nome dell'entità utente (UPN) utilizzato per accedere all'istanza del server specificata da --server <server-name> . Quando si crea un archivio, viene creato nel contesto dell'utente corrente. Pertanto, il proprietario dell'archivio è il contesto dell'utente corrente e non sempre l'utente root.

Esempio: 
vecs-cli store delete --name <store>

vecs-cli store list

Elenca gli archivi di certificati.

Opzione Descrizione

--server <server-name>

Utilizzato per specificare il nome di un server se ci si connette a un'istanza di VECS remota.

--upn <user-name>

Nome dell'entità utente (UPN) utilizzato per accedere all'istanza del server specificata da --server <server-name> . Quando si crea un archivio, viene creato nel contesto dell'utente corrente. Pertanto, il proprietario dell'archivio è il contesto dell'utente corrente e non sempre l'utente root.

VECS include i seguenti archivi.
Tabella 1. Archivi in VECS
Archivio Descrizione
Archivio SSL della macchina (MACHINE_SSL_CERT)
  • Utilizzato dal servizio proxy inverso in ogni nodo di vSphere.
  • Utilizzato da VMware Directory Service (vmdir) in ogni nodo di vCenter Server.

Tutti i servizi in vSphere 6.0 e versioni successive comunicano tramite un proxy inverso, che utilizza il certificato SSL della macchina. Per la compatibilità con le versioni precedenti, i servizi della versione 5.x utilizzano ancora porte specifiche. Di conseguenza, alcuni servizi come vpxd hanno ancora la propria porta aperta.

Archivi dell'utente della soluzione
  • machine
  • vpxd
  • vpxd-extension
  • vsphere-webclient
  • wcp
 VECS include un archivio per ogni utente della soluzione. L'oggetto di ciascun certificato utente della soluzione deve essere univoco. Ad esempio, il certificato macchina non può avere lo stesso oggetto del certificato vpxd.

I certificati utente della soluzione vengono utilizzati per l'autenticazione in vCenter Single Sign-On. vCenter Single Sign-On controlla la validità del certificato, ma non controlla altri attributi del certificato.

VECS include i seguenti archivi di certificati utente della soluzione:

  • machine: utilizzato dal server di licenza e dal servizio di registrazione.
    Nota: Il certificato utente della soluzione della macchina non ha nulla in comune con il certificato SSL della macchina. Il certificato utente della soluzione della macchina viene utilizzato per lo scambio di token SAML. Il certificato SSL della macchina viene utilizzato per stabilire connessioni SSL sicure con una macchina.
  • vpxd: archivio del daemon di vCenter Service (vpxd). vpxd utilizza il certificato utente della soluzione conservato in questo archivio per eseguire l'autenticazione in vCenter Single Sign-On.
  • vpxd-extension: archivio estensioni di vCenter. Include il servizio Auto Deploy, il servizio di inventario e altri servizi che non fanno parte degli altri utenti della soluzione.
  • vsphere-webclient: archivio di vSphere Client. Include anche alcuni servizi aggiuntivi, come il servizio grafico delle prestazioni.
  • wcp: archivio VMware vSphere® con VMware Tanzu™. Utilizzato anche per vSphere Cluster Services.

Ogni nodo di vCenter Server include un certificato machine.

Archivio root attendibile (TRUSTED_ROOTS) Contiene tutti i certificati root attendibili.
Archivio di backup dell'utilità Gestione certificati di vSphere (BACKUP_STORE) Utilizzato da VMCA (VMware Certificate Manager) per supportare il ripristino del certificato. Solo lo stato più recente viene archiviato come backup: non è possibile tornare indietro di oltre un passaggio.
Altri archivi È possibile che le soluzioni aggiungano ulteriori archivi. Ad esempio, la soluzione Volumi virtuali aggiunge un archivio di SMS. Non modificare i certificati in tali archivi a meno che ciò non venga indicato nella documentazione di VMware o in un articolo della Knowledge Base di VMware.
Nota: L'eliminazione dell'archivio TRUSTED_ROOTS_CRLS può danneggiare l'infrastruttura dei certificati. Non eliminare o modificare l'archivio TRUSTED_ROOTS_CRLS.
Esempio: 
vecs-cli store list

vecs-cli store permissions

Concede o revoca le autorizzazioni per l'archivio. Usare l'opzione --grant o --revoke.

Il proprietario dell'archivio può eseguire tutte le operazioni, ad esempio la concessione e la revoca delle autorizzazioni. L'amministratore del dominio del vCenter Single Sign-On locale, che per impostazione predefinita è [email protected], dispone di tutti i privilegi relativi a tutti gli archivi, inclusi i privilegi per la concessione e la revoca delle autorizzazioni.

È possibile utilizzare vecs-cli get-permissions --name <store-name> per recuperare le impostazioni correnti relative all'archivio.

Opzione Descrizione
--name <name> Nome dell'archivio certificati.
--user <username> Nome univoco dell'utente a cui vengono concesse le autorizzazioni.
--grant [read|write] Autorizzazione da concedere, sia essa lettura o scrittura.
--revoke [read|write] Autorizzazione da revocare, sia essa lettura o scrittura. Non supportato al momento.

vecs-cli store get-permissions

Recupera le impostazioni delle autorizzazioni correnti per l'archivio.

Opzione Descrizione
--name <name> Nome dell'archivio certificati.

--server <server-name>

Utilizzato per specificare il nome di un server se ci si connette a un'istanza di VECS remota.

--upn <user-name>

Nome dell'entità utente (UPN) utilizzato per accedere all'istanza del server specificata da --server <server-name> . Quando si crea un archivio, viene creato nel contesto dell'utente corrente. Pertanto, il proprietario dell'archivio è il contesto dell'utente corrente e non sempre l'utente root.

vecs-cli entry create

Crea una voce in VECS. Utilizzare questo comando per aggiungere una chiave privata o un certificato a un archivio.

Nota: Non utilizzare questo comando per aggiungere certificati root all'archivio TRUSTED_ROOTS. Utilizzare invece il comando dir-cli per pubblicare certificati root.
Opzione Descrizione

--store <NameOfStore>

Nome dell'archivio certificati.

--alias <Alias> Alias facoltativo per il certificato. Questa opzione viene ignorata per l'archivio root attendibile.
--cert <certificate_file_path> Percorso file completo file del certificato.
--key <key-file-path>

Percorso completo della chiave che corrisponde al certificato.

Facoltativo.
--password <password> Password facoltativa per la crittografia della chiave privata.

--server <server-name>

Utilizzato per specificare il nome di un server se ci si connette a un'istanza di VECS remota.

--upn <user-name>

Nome dell'entità utente (UPN) utilizzato per accedere all'istanza del server specificata da --server <server-name> . Quando si crea un archivio, viene creato nel contesto dell'utente corrente. Pertanto, il proprietario dell'archivio è il contesto dell'utente corrente e non sempre l'utente root.

vecs-cli entry list

Elenca tutte le voci in un archivio specificato.

Opzione Descrizione
--store <NameOfStore>

Nome dell'archivio certificati.

vecs-cli entry getcert

Recupera un certificato da VECS. È possibile inviare il certificato a un file di output o visualizzarlo come testo leggibile.

Opzione Descrizione
--store <NameOfStore>

Nome dell'archivio certificati.

--alias <Alias> Alias del certificato.
--output <output_file_path> File in cui scrivere il certificato.
--text Mostra una versione leggibile del certificato.

--server <server-name>

Utilizzato per specificare il nome di un server se ci si connette a un'istanza di VECS remota.

--upn <user-name>

Nome dell'entità utente (UPN) utilizzato per accedere all'istanza del server specificata da --server <server-name> . Quando si crea un archivio, viene creato nel contesto dell'utente corrente. Pertanto, il proprietario dell'archivio è il contesto dell'utente corrente e non sempre l'utente root.

vecs-cli entry getkey

Recupera una chiave archiviata in VECS. È possibile inviare la chiave a un file di output o visualizzarla come testo leggibile.

Opzione Descrizione
--store <NameOfStore>

Nome dell'archivio certificati.

--alias <Alias> Alias della chiave.
--output <output_file_path> File di output in cui scrivere la chiave.
--text Mostra una versione leggibile della chiave.

--server <server-name>

Utilizzato per specificare il nome di un server se ci si connette a un'istanza di VECS remota.

--upn <user-name>

Nome dell'entità utente (UPN) utilizzato per accedere all'istanza del server specificata da --server <server-name> . Quando si crea un archivio, viene creato nel contesto dell'utente corrente. Pertanto, il proprietario dell'archivio è il contesto dell'utente corrente e non sempre l'utente root.

vecs-cli entry delete

Elimina una voce in un archivio di certificati. Se si elimina una voce in VECS, la si rimuove definitivamente da VECS. L'unica eccezione è il certificato root corrente. VECS esegue il polling di vmdir per un certificato root.

Opzione Descrizione
--store <NameOfStore>

Nome dell'archivio certificati.

--alias <Alias> Alias della voce che si desidera eliminare.

--server <server-name>

Utilizzato per specificare il nome di un server se ci si connette a un'istanza di VECS remota.

--upn <user-name>

Nome dell'entità utente (UPN) utilizzato per accedere all'istanza del server specificata da --server <server-name> . Quando si crea un archivio, viene creato nel contesto dell'utente corrente. Pertanto, il proprietario dell'archivio è il contesto dell'utente corrente e non sempre l'utente root.

-y Elimina il prompt di conferma. Solo per utenti avanzati.

vecs-cli force-refresh

Forza un aggiornamento di VECS. Per impostazione predefinita, VECS esegue il polling di vmdir per i nuovi file del certificato root ogni 5 minuti. Utilizzare questo comando per un aggiornamento immediato di VECS da vmdir.

Opzione Descrizione

--server <server-name>

Utilizzato per specificare il nome di un server se ci si connette a un'istanza di VECS remota.

--upn <user-name>

Nome dell'entità utente (UPN) utilizzato per accedere all'istanza del server specificata da --server <server-name> . Quando si crea un archivio, viene creato nel contesto dell'utente corrente. Pertanto, il proprietario dell'archivio è il contesto dell'utente corrente e non sempre l'utente root.