ほとんどの vCenter 証明書の管理操作では、ユーザーが vsphere.local ドメインの CAAdmins グループに属している必要があります。administrator@vsphere.local ユーザーは CAAdmins グループに属しています。一部の操作はすべてのユーザーに許可されています。

vCenter Certificate Manager ユーティリティを実行する場合、administrator@vsphere.local のパスワードを求められます。証明書を手動で置き換える場合は、証明書管理 CLI のオプションに応じて特定の権限が必要になります。

dir-cli

vsphere.local ドメインの CAAdmins グループのメンバーである必要があります。dir-cli コマンドは、実行するたびにユーザー名とパスワードを求められます。

vecs-cli

初期設定では、ストア オーナーにのみ、ストアへのアクセス権があります。ストア オーナーは Windows システムでは管理者ユーザーで、Linux システムではルート ユーザーです。ストア オーナーは他のユーザーにアクセス権を提供することができます。

MACHINE_SSL_CERT および TRUSTED_ROOTS ストアは特別なストアです。インストールのタイプによっては、ルート ユーザーまたは管理者ユーザーにのみ完全なアクセス権があります。

certool

ほとんどの certool コマンドでは、ユーザーが CAAdmins グループに属している必要があります。administrator@vsphere.local ユーザーは CAAdmins グループに属しています。以下のコマンドはすべてのユーザーが実行できます。

  • genselfcacert

  • initscr

  • getdc

  • waitVMDIR

  • waitVMCA

  • genkey

  • viewcert

ESXi ホストの証明書の管理には、証明書 > 証明書を管理 権限が必要です。権限は vSphere Web Client から設定できます。