certool 初始化命令可以生成证书签名请求、查看和生成 VMCA 签名的证书和密钥、导入根证书以及执行其他证书管理操作。

在许多情况下,您可以将配置文件传递到 certool 命令中。请参见更改 certool 配置。有关一些用法示例,请参见将现有 VMCA 签名证书替换为新的 VMCA 签名证书

certool --initcsr

生成证书签名请求 (CSR)。此命令可生成 PKCS10 文件和专用密钥。

选项

描述

--initcsr

生成 CSR 时为必需项。

--privkey <key_file>

专用密钥文件的名称。

--pubkey <key_file>

公用密钥文件的名称。

--csrfile <csr_file>

发送到 CA 提供程序的 CSR 文件的文件名。

--config <config_file>

配置文件的可选名称。默认为 certool.cfg

例如:

certool --initcsr --privkey=<filename> --pubkey=<filename> --csrfile=<filename>

certool --selfca

创建自签名证书并使用自签名的根 CA 置备 VMCA 服务器。使用此选项是置备 VMCA 服务器最简单的方法之一。您也可以改用第三方根证书置备 VMCA 服务器,从而使 VMCA 成为中间 CA。请参见使用 VMCA 作为中间证书颁发结构

此命令将生成日期早三天的证书以避免出现时区冲突。

选项

描述

--selfca

生成自签名证书时为必需项。

--predate <number_of_minutes>

允许您将根证书的“有效起始日期”字段设置为当前时间之前的指定分钟数。此选项有助于解决潜在的时区问题。最大值为三天。

--config <config_file>

配置文件的可选名称。默认为 certool.cfg

--server <server>

VMCA 服务器的可选名称。默认情况下,该命令使用 localhost。

例如:

machine-70-59:/usr/lib/vmware-vmca/bin # ./certool --predate=2280  --selfca --server= 192.0.2.24 --srp-upn=administrator@vsphere.local

certool --rootca

导入根证书。将指定的证书和专用密钥添加到 VMCA。VMCA 总是使用最新的根证书进行签名,但其他根证书仍然可用。这意味着,您可以一步一步地更新基础架构,最后删除不再使用的证书。

选项

描述

--rootca

导入根 CA 时为必需项。

--cert <certfile>

配置文件的可选名称。默认为 certool.cfg

--privkey <key_file>

专用密钥文件的名称。该文件必须是 PEM 编码的格式。

--server <server>

VMCA 服务器的可选名称。默认情况下,该命令使用 localhost。

例如:

certool --rootca --cert=root.cert --privkey=privatekey.pem

certool --getdc

返回 vmdir 使用的默认域名。

选项

描述

--server <server>

VMCA 服务器的可选名称。默认情况下,该命令使用 localhost。

--port <port_num>

可选的端口号。默认为端口 389。

例如:

certool --getdc

certool --waitVMDIR

等待 VMware Directory Service 运行或等待 --wait 指定的超时结束。将此选项与其他选项配合使用可调度特定任务,例如返回默认域名。

选项

描述

--wait

可选的等待分钟数。默认值为“3”。

--server <server>

VMCA 服务器的可选名称。默认情况下,该命令使用 localhost。

--port <port_num>

可选的端口号。默认为端口 389。

例如:

certool --waitVMDIR --wait 5

certool --waitVMCA

等待 VMCA 服务运行或等待指定的超时结束。将此选项与其他选项配合使用可调度特定任务,例如生成证书。

选项

描述

--wait

可选的等待分钟数。默认值为“3”。

--server <server>

VMCA 服务器的可选名称。默认情况下,该命令使用 localhost。

--port <port_num>

可选的端口号。默认为端口 389。

例如:

certool --waitVMCA --selfca

certool --publish-roots

强制更新根证书。此命令需要管理特权。

选项

描述

--server <server>

VMCA 服务器的可选名称。默认情况下,该命令使用 localhost。

例如:

certool --publish-roots