È possibile gestire i certificati di vCenter Server da vSphere Client o utilizzando un'API, uno script o una CLI.

La seguente tabella descrive le interfacce che è possibile utilizzare per gestire i certificati di vCenter Server.

Tabella 1. Interfacce per la gestione dei certificati vSphere
Interfaccia Descrizione
vSphere Client Interfaccia Web (client basato su HTML5). Vedere Gestione dei certificati tramite vSphere Client.
API di vSphere Automation Vedere Guida alla programmazione di VMware vSphere Automation SDK.
Utilità Gestione certificati Strumento della riga di comando che supporta la generazione della richiesta di firma del certificato (CSR) e la sostituzione del certificato. Vedere Gestione dei certificati tramite l'utilità vSphere Certificate Manager.
CLI per la gestione dei certificati e dei servizi directory Set di comandi per la gestione dei certificati, dell'archivio certificati dell'endpoint VMware (VECS, VMware Endpoint Certificate Store) e di VMware Directory Service (vmdir). Vedere Guida di riferimento ai comandi della CLI per i certificati e i servizi di vSphere.

Gestione dei certificati di vCenter Server tramite vSphere Client

È possibile gestire i certificati di vCenter Server da vSphere Client.

Procedura

  1. Accedere a un vCenter Server come utente con privilegi di amministratore nel dominio vCenter Single Sign-On locale.
    Il dominio predefinito è vsphere.local.
  2. Selezionare Amministrazione.
  3. In Certificati, fare clic su Gestione certificati.
    Vengono visualizzate le schede Certificato per i diversi tipi di certificati.
  4. Eseguire le attività relative ai certificati, come la visualizzazione dei dettagli del certificato, il rinnovo o l'aggiornamento di un certificato e l'aggiunta di un certificato root attendibile.
    Per ulteriori informazioni, vedere Gestione dei certificati tramite vSphere Client.

Gestione dei certificati di vCenter Server tramite CLI

vCenter Server include CLI per la generazione di richieste di firma del certificato (CSR), la gestione dei certificati e la gestione dei servizi.

Ad esempio, è possibile utilizzare il comando certool per generare richieste CSR e sostituire i certificati.

Utilizzare le CLI per le attività di gestione non supportate da vSphere Client o per creare script personalizzati per l'ambiente in uso.

Tabella 2. CLI per la gestione dei certificati di vCenter Server e dei servizi associati
CLI Descrizione Link
certool Consente di generare e gestire certificati e chiavi. Parte dell'Autorità di certificazione VMware (VMCA).

Guida di riferimento ai comandi di inizializzazione certool

vecs-cli Consente di gestire il contenuto delle istanze dell'Archivio certificati VMware. Parte del daemon di VMware Authentication Framework (VMAFD). Guida di riferimento al comando vecs-cli
dir-cli Consente di creare e aggiornare i certificati nel servizio VMware Directory. Parte di VMAFD. Guida di riferimento ai comandi di dir-cli
sso-config Aggiorna i certificati Security Token Service (STS). Sostituzione di un certificato STS di vCenter Server tramite la riga di comando
service-control Comando per avviare, arrestare ed elencare i servizi. Eseguire questo comando, per arrestare i servizi prima di eseguire altri comandi CLI.

Prerequisiti

Abilitare l'accesso a SSH per vCenter Server. È possibile utilizzare la scheda Accesso nell'interfaccia di gestione di vCenter Server (https://vcenter_server_ip:5480) per l'attivazione e la disattivazione dell'accesso SSH.

Procedura

  1. Accedere alla shell di vCenter Server.
    In genere, è necessario essere l'utente root o amministratore. Per dettagli, consultare Privilegi richiesti per l'esecuzione di vSphere CLI.
  2. Accedere a una CLI in una delle seguenti posizioni predefinite.
    I privilegi richiesti dipendono dall'attività che si desidera eseguire. A volte viene richiesto di immettere la password due volte per proteggere le informazioni riservate.
    /usr/lib/vmware-vmafd/bin/vecs-cli
    /usr/lib/vmware-vmafd/bin/dir-cli
    /usr/lib/vmware-vmca/bin/certool
    /opt/vmware/bin/sso-config.sh

    Il comando service-control non richiede l'immissione del percorso.

    Per ulteriori informazioni, vedere Sostituzione manuale del certificato di vSphere.