Os comandos de inicialização do certool permitem que você gere solicitações de assinatura de certificado, visualize e gere certificados e chaves assinados por VMware Certificate Authority (VMCA), importe certificados raiz e realize outras operações de gerenciamento de certificados.

Em muitos casos, você passa um arquivo de configuração para um comando certool. Consulte Alterando as opções de configuração do certool. Consulte Substituir certificados assinados pela VMCA existentes por novos certificados assinados pela VMCA usando a CLI para ver alguns exemplos de uso. A ajuda da linha de comando fornece detalhes sobre as opções.

certool --initcsr

Gera uma Solicitação de Assinatura de Certificado (CSR). O comando gera um arquivo PKCS10 e uma chave privada.

Opção Descrição
--gencsr Obrigatório para gerar CSRs.
--privkey <key_file> Nome do arquivo de chave privada.
--pubkey <key_file> Nome do arquivo de chave pública.
--csrfile <csr_file> Nome do arquivo do arquivo CSR a ser enviado ao provedor de autoridade de certificação.

--config <config_file>

Nome opcional do arquivo de configuração. O padrão é certool.cfg.

Exemplo:
certool --gencsr --privkey=<filename> --pubkey=<filename> --csrfile=<filename>

certool --selfca

Cria um certificado autoassinado e provisiona o servidor VMCA com uma CA raiz autoassinada. O uso dessa opção é uma das maneiras mais simples de provisionar o servidor VMCA. Em vez disso, você pode provisionar o servidor VMCA com um certificado raiz de terceiros para que a VMCA seja uma CA intermediária. Consulte Transformar a VMCA em uma autoridade de certificação intermediária usando a CLI.

Esse comando gera um certificado com três dias de antecedência para evitar conflitos de fuso horário.

Opção Descrição
--selfca Obrigatório para gerar um certificado autoassinado.
--predate <number_of_minutes> Permite definir o campo Válido não antes do certificado raiz para o número especificado de minutos antes da hora atual. Essa opção pode ser útil para explicar possíveis problemas de fuso horário. O máximo são três dias.

--config <config_file>

Nome opcional do arquivo de configuração. O padrão é certool.cfg.

--server <server>

Nome opcional do servidor VMCA. Por padrão, o comando usa localhost.

Exemplo:
machine-70-59:/usr/lib/vmware-vmca/bin # ./certool --predate=2280  --selfca --server= 192.0.2.24 [email protected]

certool --rootca

Importa um certificado raiz. Adiciona o certificado especificado e a chave privada à VMCA. A VMCA sempre usa o certificado raiz mais recente para assinatura, mas outros certificados raiz permanecem confiáveis até que você os exclua manualmente. Isso significa que você pode atualizar sua infraestrutura uma etapa por vez e, finalmente, excluir certificados que não são mais usados.

Opção Descrição
--rootca Obrigatório para importar uma CA raiz.

--cert <certfile>

Nome do arquivo de certificado.
--privkey <key_file> Nome do arquivo de chave privada. Esse arquivo deve estar no formato codificado por PEM.

--server <server>

Nome opcional do servidor VMCA. Por padrão, o comando usa localhost.

Exemplo:
certool --rootca --cert=root.cert --privkey=privatekey.pem

certool --getdc

Retorna o nome de domínio padrão usado por vmdir.

Opção Descrição

--server <server>

Nome opcional do servidor VMCA. Por padrão, o comando usa localhost.

--port <port_num>

Número da porta opcional. O padrão é a porta 389.

Exemplo:
certool --getdc

certool --waitVMDIR

Aguarde até que o Serviço de Diretório VMware esteja em execução ou até que o tempo limite especificado por --wait tenha expirado. Use essa opção junto com outras opções para agendar determinadas tarefas, por exemplo, retornar o nome de domínio padrão.

Opção Descrição
--wait Número opcional de minutos a aguardar. O padrão é 3.

--server <server>

Nome opcional do servidor VMCA. Por padrão, o comando usa localhost.

--port <port_num>

Número da porta opcional. O padrão é a porta 389.

Exemplo:
certool --waitVMDIR --wait 5

certool --waitVMCA

Aguarde até que o serviço VMCA esteja em execução ou até que o tempo limite especificado tenha expirado. Use essa opção em conjunto com outras opções para agendar determinadas tarefas, por exemplo, gerar um certificado.

Opção Descrição
--wait Número opcional de minutos a aguardar. O padrão é 3.

--server <server>

Nome opcional do servidor VMCA. Por padrão, o comando usa localhost.

--port <port_num>

Número da porta opcional. O padrão é a porta 389.

Exemplo:
certool --waitVMCA --selfca

certool --publish-roots

Força uma atualização dos certificados raiz. Este comando requer privilégios administrativos.

Opção Descrição

--server <server>

Nome opcional do servidor VMCA. Por padrão, o comando usa localhost.

Exemplo:
certool --publish-roots