Os comandos de inicialização do certool permitem que você gere solicitações de assinatura de certificado, visualize e gere certificados e chaves que são assinados pelo VMCA, importe certificados raiz e execute outras operações de gerenciamento de certificado.
Em muitos casos, você passa um arquivo de configuração para um comando certool. Consulte Alterando as opções de configuração do certool. Consulte Substituir certificados assinados pela VMCA existentes por novos certificados assinados pela VMCA para obter alguns exemplos de uso. A ajuda da linha de comando fornece detalhes sobre as opções.
certool --initcsr
Gera uma solicitação de assinatura de certificado (CSR). O comando gera um arquivo PKCS10 e uma chave privada.
| Opção | Descrição |
|---|---|
| --gencsr | Necessário para gerar CSRs. |
| --privkey <key_file> | Nome do arquivo de chave privada. |
| --pubkey <key_file> | Nome do arquivo de chave pública. |
| --csrfile <csr_file> | Nome do arquivo para o arquivo CSR a ser enviado ao provedor de autoridade de certificação. |
| --config <config_file> |
Nome opcional do arquivo de configuração. O padrão é certool.cfg . |
certool --gencsr --privkey=<filename> --pubkey=<filename> --csrfile=<filename>
certool --selfca
Cria um certificado autoassinado e provisiona o servidor VMCA com uma CA raiz autoassinada. Usar essa opção é uma das maneiras mais simples de provisionar o servidor VMCA. Em vez disso, você pode provisionar o servidor VMCA com um certificado raiz de terceiros para que o VMCA seja uma autoridade de certificação intermediária. Consulte Usar VMCA como uma autoridade de certificação intermediária.
Esse comando gera um certificado que é anterior a três dias para evitar conflitos de fuso horário.
| Opção | Descrição |
|---|---|
| --selfca | Necessário para gerar um certificado autoassinado. |
| --predate <number_of_minutes> | Permite que você defina o campo Válido não antes do certificado raiz para o número especificado de minutos antes da hora atual. Essa opção pode ser útil para considerar possíveis problemas de fuso horário. O máximo é de três dias. |
| --config <config_file> |
Nome opcional do arquivo de configuração. O padrão é certool.cfg . |
| --server <server> |
Nome opcional do servidor VMCA. Por padrão, o comando usa localhost. |
machine-70-59:/usr/lib/vmware-vmca/bin # ./certool --predate=2280 --selfca --server= 192.0.2.24 [email protected]
certool --rootca
Importa um certificado raiz. Adiciona o certificado especificado e a chave privada ao VMCA. O VMCA sempre usa o certificado raiz mais recente para assinatura, mas outros certificados raiz permanecem confiáveis até que você os exclua manualmente. Isso significa que você pode atualizar sua infraestrutura em uma etapa de cada vez e, finalmente, excluir os certificados que você não usa mais.
| Opção | Descrição |
|---|---|
| --rootca | Necessário para importar uma autoridade de certificação raiz. |
| --cert <certfile> |
Nome do arquivo de certificado. |
| --privkey <key_file> | Nome do arquivo de chave privada. Este arquivo deve estar no formato codificado PEM. |
| --server <server> |
Nome opcional do servidor VMCA. Por padrão, o comando usa localhost. |
certool --rootca --cert=root.cert --privkey=privatekey.pem
certool --getdc
Retorna o nome de domínio padrão usado pelo vmdir.
| Opção | Descrição |
|---|---|
| --server <server> |
Nome opcional do servidor VMCA. Por padrão, o comando usa localhost. |
| --port <port_num> |
Número da porta opcional. O padrão é a porta 389. |
certool --getdc
certool --waitVMDIR
Aguarde até que o serviço de diretório do VMware esteja em execução ou até que o tempo limite especificado por --wait tenha decorrido. Use essa opção junto com outras opções para agendar determinadas tarefas, por exemplo, retornar o nome de domínio padrão.
| Opção | Descrição |
|---|---|
| --wait | Número opcional de minutos de espera. O padrão é 3. |
| --server <server> |
Nome opcional do servidor VMCA. Por padrão, o comando usa localhost. |
| --port <port_num> |
Número da porta opcional. O padrão é a porta 389. |
certool --waitVMDIR --wait 5
certool --waitVMCA
Aguarde até que o serviço VMCA esteja em execução ou até que o tempo limite especificado tenha decorrido. Use essa opção em conjunto com outras opções para agendar determinadas tarefas, por exemplo, gerar um certificado.
| Opção | Descrição |
|---|---|
| --wait | Número opcional de minutos de espera. O padrão é 3. |
| --server <server> |
Nome opcional do servidor VMCA. Por padrão, o comando usa localhost. |
| --port <port_num> |
Número da porta opcional. O padrão é a porta 389. |
certool --waitVMCA --selfca
certool --publish-root
Força uma atualização de certificados raiz. Este comando requer privilégios administrativos.
| Opção | Descrição |
|---|---|
| --server <server> |
Nome opcional do servidor VMCA. Por padrão, o comando usa localhost. |
certool --publish-roots
