superAdmin ロールが割り当てられたカスタムユーザーアカウントを使用して、期限切れの CSR を削除するために vecs-cli コマンドを実行すると、ERROR_ACCESS_DENIED エラーで失敗します :

<User name>@<VC hostname> [ ~ ]$ /usr/lib/vmware-vmafd/bin/vecs-cli entry delete --store MACHINE_SSL_CERT --alias __MACHINE_CSR -y
vecs-cli failed. Error 5:
Possible errors:
LDAP error: Compare False
Win Error: Operation failed with error ERROR_ACCESS_DENIED (5)

VMware vCenter Server

この事象は、実行しているユーザーアカウントに証明書ストア（この例では MACHINE_SSL_CERT）へのアクセス権限がないために発生します。

ストアの現在の権限設定は、vecs-cli store get-permissions コマンドを使用して確認できます。

# /usr/lib/vmware-vmafd/bin/vecs-cli store get-permissions --name MACHINE_SSL_CERT
PERMISSIONS FOR STORE: [MACHINE_SSL_CERT]
OWNER : root
USER            ACCESS
vlcm    read
updatemgr       read
vsphere-ui      read
vpxd    read
vpostgres       read
vsm     read
vsan-health     read
lighttpd        read
rhttpproxy      write

ユーザーアカウントに読み取り/書き込み (read/write) 権限を追加するには、vecs-cli store permission コマンドを使用します。

実行例:

# /usr/lib/vmware-vmafd/bin/vecs-cli store permission --name MACHINE_SSL_CERT --user <User name> --grant write
Permissions for store [MACHINE_SSL_CERT] set successfully
#

vecs-cli Command Reference

Running vecs-cli with a custom local account results in failure with ERROR_ACCESS_DENIED