运行 certool --gencert 和某些其他证书初始化或管理命令时,CLI 会读取配置文件中的所有值。可以在命令行中编辑现有文件、使用 -–config=<file name> 选项替代默认配置文件 (certool.cfg) 或替代其他值。
配置文件包含具有以下默认值的多个字段:
Country = US Name= Acme Organization = AcmeOrg OrgUnit = AcmeOrg Engineering State = California Locality = Palo Alto IPAddress = 127.0.0.1 Email = email@acme.com Hostname = server.acme.com
可以按如下方式更改配置中的值:
创建配置文件的备份,然后编辑该文件。如果使用的是默认配置文件,则无需指定该文件。否则,例如,如果已更改配置文件名称,请使用 --config 命令行选项。
替代命令行上的配置文件值。例如,要替代局部性,请运行以下命令:
certool -–gencert -–privkey=private.key –-Locality="Mountain View"
指定 --Name 以替换证书的主题名称的 CN 字段。
对于解决方案用户证书,按照约定,该名称为 <sol_user name>@<domain>,但如果在环境中使用其他约定,则可以更改该名称。
对于计算机 SSL 证书,使用计算机的 FQDN 的原因是由于 SSL 客户端在验证计算机的主机名时会检查证书的主题名称的 CN 字段。由于计算机可以包含多个别名,因此证书具有您可以指定其他名称(DNS 名称、IP 地址等)的“主题备用名称”字段扩展。但是,VMCA 仅允许使用一个 DNSName(在 Hostname 字段中),但不允许使用其他任何别名选项。如果 IP 地址由用户指定,则也会存储在 SubAltName 中。
--Hostname 参数用于指定证书的 SubAltName 的 DNSName。