È possibile gestire i certificati VMCA (Autorità di certificazione VMware), VECS (VMware Endpoint Certificate Store), VMware Directory Service (vmdir) e Security Token Service (STS) utilizzando un set di CLI. L'utilità vSphere Certificate Manager supporta anche molte attività correlate, ma le CLI sono necessarie per la gestione manuale dei certificati e per la gestione di altri servizi.

In genere è possibile accedere agli strumenti della CLI per la gestione dei certificati e dei servizi associati utilizzando SSH per connettersi alla shell dell'appliance. Per ulteriori informazioni, vedere l'articolo della Knowledge Base di VMware all'indirizzo https://kb.vmware.com/s/article/2100508.

Sostituzione manuale del certificato di vSphere fornisce esempi per la sostituzione dei certificati mediante i comandi CLI.

Tabella 1. Strumenti di vSphere CLI per la gestione dei certificati e dei servizi associati
CLI Descrizione Vedere
certool Consente di generare e gestire certificati e chiavi. Parte di VMCAD, servizio Gestione certificati di VMware.

Guida di riferimento ai comandi di inizializzazione certool

vecs-cli Consente di gestire il contenuto delle istanze dell'Archivio certificati VMware. Parte del daemon di VMware Authentication Framework (VMAFD). Guida di riferimento al comando vecs-cli
dir-cli Consente di creare e aggiornare i certificati nel servizio VMware Directory. Parte di VMAFD. Guida di riferimento ai comandi di dir-cli
sso-config.sh Consente di gestire i certificati STS. Guida della riga di comando. Se si immette sso-config.sh senza opzioni, viene visualizzata la guida della riga di comando.
service-control Consente di avviare o arrestare i servizi, ad esempio durante il workflow di sostituzione dei certificati.

Eseguire questo comando, per arrestare i servizi prima di eseguire altri comandi CLI.

Posizioni di vSphere CLI

Per impostazione predefinita, le CLI si trovano nelle seguenti posizioni. 

/usr/lib/vmware-vmafd/bin/vecs-cli
/usr/lib/vmware-vmafd/bin/dir-cli
/usr/lib/vmware-vmca/bin/certool
/opt/vmware/bin/sso-config.sh
Nota: Il comando service-control non richiede di specificare il percorso.

Privilegi richiesti per l'esecuzione di vSphere CLI

I privilegi richiesti dipendono dalla CLI che si sta utilizzando e dal comando che si desidera eseguire. Ad esempio, per la maggior parte delle operazioni di gestione dei certificati, è necessario essere un amministratore per il dominio di vCenter Single Sign-On locale (per impostazione predefinita vsphere.local). Alcuni comandi sono disponibili per tutti gli utenti.

dir-cli
Per eseguire i comandi dir-cli, è necessario essere membro del gruppo di amministratori del dominio locale (per impostazione predefinita vsphere.local). Se non si specifica un nome utente e una password, viene richiesta l'immissione della password dell'amministratore del dominio vCenter Single Sign-On locale, [email protected] per impostazione predefinita.
vecs-cli
Inizialmente, solo il proprietario dell'archivio e gli utenti con privilegi di accesso generale hanno accesso a un archivio. Gli utenti del gruppo Amministratori dispongono di privilegi di accesso generale.
Gli archivi MACHINE_SSL_CERT e TRUSTED_ROOTS sono archivi speciali. Solo l'utente root o l'utente amministratore, a seconda del tipo di installazione, dispone dell'accesso completo.
certool
La maggior parte dei comandi certool richiede che l'utente sia membro del gruppo di amministratori. Tutti gli utenti possono eseguire i comandi seguenti.
  • genselfcacert
  • initscr
  • getdc
  • waitVMDIR
  • waitVMCA
  • genkey
  • viewcert

Modifica delle opzioni di configurazione di certool

Quando si eseguono alcuni comandi di inizializzazione o gestione dei certificati, come nel caso di certool --gencert, vengono letti tutti i valori contenuti in un file di configurazione. È possibile modificare il file esistente, sostituire il file di configurazione predefinito con l'opzione -–config=<file name> o sostituire i valori tramite la riga di comando.

Per impostazione predefinita, il file di configurazione certool.cfg si trova nella directory /usr/lib/vmware-share/config/.

Il file contiene diversi campi con i seguenti valori predefiniti: 

Country = US
Name= Acme
Organization = AcmeOrg
OrgUnit = AcmeOrg Engineering
State = California 
Locality = Palo Alto
IPAddress = 127.0.0.1	
Email = [email protected]
Hostname = server.acme.com
Nota: Il campo OU (organizationalUnitName) non è più obbligatorio.
È possibile modificare i valori specificando un file modificato nella riga di comando o sostituendo i singoli valori nella riga di comando, come indicato di seguito.
  • Creare una copia del file di configurazione e modificarla. Utilizzare l'opzione della riga di comando --config per specificare il file. Specificare il percorso completo per evitare problemi relativi al nome del percorso. 
  • /usr/lib/vmware-vmca/bin/certool -–gencert --config /tmp/myconfig.cfg
  • Sostituisci i singoli valori nella riga di comando. Ad esempio, per sostituire "Locality" eseguire questo comando: 
    /usr/lib/vmware-vmca/bin/certool -–gencert -–privkey=private.key –-Locality="Mountain View"
Specificare --Name per sostituire il campo CN del nome dell'oggetto del certificato.
  • Per i certificati utente della soluzione, il nome è <sol_user name>@<domain> per convenzione, ma è possibile modificarlo se nell'ambiente viene utilizzata una convenzione diversa.
  • Per i certificati SSL delle macchine, viene utilizzato l'FQDN della macchina.

    VMCA consente un solo DNSName (nel campo Hostname) senza altre opzioni di alias. Se l'indirizzo IP è specificato dall'utente, viene memorizzato anche in SubAltName.

Utilizzare il parametro --Hostname per specificare il DNSName del SubAltName di un certificato.