certool 初始化命令可以生成证书签名请求、查看和生成 VMware 证书颁发机构 (VMCA) 签名的证书和密钥、导入根证书以及执行其他证书管理操作。

在许多情况下,您可以将配置文件传递到 certool 命令中。请参见更改 certool 配置选项。有关一些用法示例,请参见使用 CLI 将现有 VMCA 签名证书替换为新的 VMCA 签名证书。命令行帮助提供了有关选项的详细信息。

certool --initcsr

生成证书签名请求 (CSR)。此命令可生成 PKCS10 文件和专用密钥。

选项 描述
--gencsr 生成 CSR 时为必需项。
--privkey <key_file> 专用密钥文件的名称。
--pubkey <key_file> 公用密钥文件的名称。
--csrfile <csr_file> 发送到 CA 提供程序的 CSR 文件的文件名。

--config <config_file>

配置文件的名称。示例配置文件位于 /usr/lib/vmware-vmca/share/config/certool.cfg。最佳做法是创建默认配置文件的副本并替换必填字段。

例如:
certool --gencsr --privkey=<filename> --pubkey=<filename> --csrfile=<filename>

certool --selfca

创建自签名证书并使用自签名的根 CA 置备 VMCA 服务器。使用此选项是置备 VMCA 服务器最简单的方法之一。您也可以改用第三方根证书置备 VMCA 服务器,从而使 VMCA 成为中间 CA。请参见使用 CLI 将 VMCA 设为中间证书颁发机构

此命令将生成日期早三天的证书以避免出现时区冲突。

选项 描述
--selfca 生成自签名证书时为必需项。
--predate <number_of_minutes> 允许您将根证书的“有效起始日期”字段设置为当前时间之前的指定分钟数。此选项有助于解决潜在的时区问题。最大值为三天。

--config <config_file>

配置文件的名称。示例配置文件位于 /usr/lib/vmware-vmca/share/config/certool.cfg。最佳做法是创建默认配置文件的副本并替换必填字段。

--server <server>

VMCA 服务器的可选名称。默认情况下,该命令使用 localhost。

例如:
machine-70-59:/usr/lib/vmware-vmca/bin # ./certool --predate=2280  --selfca --server= 192.0.2.24 [email protected]

certool --rootca

导入根证书。将指定的证书和专用密钥添加到 VMCA。VMCA 始终使用最新根证书进行签名,但其他根证书仍然受信任,直到您手动将它们删除为止。这意味着,您可以一步一步地更新基础架构,最后删除不再使用的证书。

选项 描述
--rootca 导入根 CA 时为必需项。

--cert <certfile>

证书文件的名称。
--privkey <key_file> 专用密钥文件的名称。该文件必须是 PEM 编码的格式。

--server <server>

VMCA 服务器的可选名称。默认情况下,该命令使用 localhost。

例如:
certool --rootca --cert=root.cert --privkey=privatekey.pem

certool --getdc

返回 vmdir 使用的默认域名。

选项 描述

--server <server>

VMCA 服务器的可选名称。默认情况下,该命令使用 localhost。

--port <port_num>

可选的端口号。默认为端口 389。

例如:
certool --getdc

certool --waitVMDIR

等待 VMware Directory Service 运行或等待--wait指定的超时结束。将此选项与其他选项配合使用可调度特定任务,例如返回默认域名。

选项 描述
--wait 可选的等待分钟数。默认值为“3”。

--server <server>

VMCA 服务器的可选名称。默认情况下,该命令使用 localhost。

--port <port_num>

可选的端口号。默认为端口 389。

例如:
certool --waitVMDIR --wait 5

certool --waitVMCA

等待 VMCA 服务运行或等待指定的超时结束。将此选项与其他选项配合使用可调度特定任务,例如生成证书。

选项 描述
--wait 可选的等待分钟数。默认值为“3”。

--server <server>

VMCA 服务器的可选名称。默认情况下,该命令使用 localhost。

--port <port_num>

可选的端口号。默认为端口 389。

例如:
certool --waitVMCA --selfca

certool --publish-roots

强制更新根证书。此命令需要管理特权。

选项 描述

--server <server>

VMCA 服务器的可选名称。默认情况下,该命令使用 localhost。

例如:
certool --publish-roots