运行 certool --gencert 和某些其他证书初始化或管理命令时,CLI 会读取配置文件中的所有值。可以在命令行中编辑现有文件、使用 -–config=<file name> 选项替代默认配置文件 (certool.cfg) 或替代其他值。

配置文件包含具有以下默认值的多个字段:

Country = US
Name= Acme
Organization = AcmeOrg
OrgUnit = AcmeOrg Engineering
State = California 
Locality = Palo Alto
IPAddress = 127.0.0.1	
Email = email@acme.com
Hostname = server.acme.com

可以按如下方式更改配置中的值:

  • 创建配置文件的备份,然后编辑该文件。如果使用的是默认配置文件,则无需指定该文件。否则,例如,如果已更改配置文件名称,请使用 --config 命令行选项。

  • 替代命令行上的配置文件值。例如,要替代局部性,请运行以下命令:

    certool -–gencert -–privkey=private.key –-Locality="Mountain View" 

指定 --Name 以替换证书的主题名称的 CN 字段。

  • 对于解决方案用户证书,按照约定,该名称为 <sol_user name>@<domain>,但如果在环境中使用其他约定,则可以更改该名称。

  • 对于计算机 SSL 证书,使用计算机的 FQDN 的原因是由于 SSL 客户端在验证计算机的主机名时会检查证书的主题名称的 CN 字段。由于计算机可以包含多个别名,因此证书具有您可以指定其他名称(DNS 名称、IP 地址等)的“主题备用名称”字段扩展。但是,VMCA 仅允许使用一个 DNSName(在 Hostname 字段中),但不允许使用其他任何别名选项。如果 IP 地址由用户指定,则也会存储在 SubAltName 中。

--Hostname 参数用于指定证书的 SubAltName 的 DNSName。