certool 初始化命令可以生成证书签名请求、查看和生成 VMware 证书颁发机构 (VMCA) 签名的证书和密钥、导入根证书以及执行其他证书管理操作。
在许多情况下,您可以将配置文件传递到 certool 命令中。请参见更改 certool 配置选项。有关一些用法示例,请参见使用 CLI 将现有 VMCA 签名证书替换为新的 VMCA 签名证书。命令行帮助提供了有关选项的详细信息。
certool --initcsr
生成证书签名请求 (CSR)。此命令可生成 PKCS10 文件和专用密钥。
选项 | 描述 |
---|---|
--gencsr | 生成 CSR 时为必需项。 |
--privkey <key_file> | 专用密钥文件的名称。 |
--pubkey <key_file> | 公用密钥文件的名称。 |
--csrfile <csr_file> | 发送到 CA 提供程序的 CSR 文件的文件名。 |
--config <config_file> |
配置文件的名称。示例配置文件位于 /usr/lib/vmware-vmca/share/config/certool.cfg。最佳做法是创建默认配置文件的副本并替换必填字段。 |
certool --gencsr --privkey=<filename> --pubkey=<filename> --csrfile=<filename>
certool --selfca
创建自签名证书并使用自签名的根 CA 置备 VMCA 服务器。使用此选项是置备 VMCA 服务器最简单的方法之一。您也可以改用第三方根证书置备 VMCA 服务器,从而使 VMCA 成为中间 CA。请参见使用 CLI 将 VMCA 设为中间证书颁发机构。
此命令将生成日期早三天的证书以避免出现时区冲突。
选项 | 描述 |
---|---|
--selfca | 生成自签名证书时为必需项。 |
--predate <number_of_minutes> | 允许您将根证书的“有效起始日期”字段设置为当前时间之前的指定分钟数。此选项有助于解决潜在的时区问题。最大值为三天。 |
--config <config_file> |
配置文件的名称。示例配置文件位于 /usr/lib/vmware-vmca/share/config/certool.cfg。最佳做法是创建默认配置文件的副本并替换必填字段。 |
--server <server> |
VMCA 服务器的可选名称。默认情况下,该命令使用 localhost。 |
machine-70-59:/usr/lib/vmware-vmca/bin # ./certool --predate=2280 --selfca --server= 192.0.2.24 [email protected]
certool --rootca
导入根证书。将指定的证书和专用密钥添加到 VMCA。VMCA 始终使用最新根证书进行签名,但其他根证书仍然受信任,直到您手动将它们删除为止。这意味着,您可以一步一步地更新基础架构,最后删除不再使用的证书。
选项 | 描述 |
---|---|
--rootca | 导入根 CA 时为必需项。 |
--cert <certfile> |
证书文件的名称。 |
--privkey <key_file> | 专用密钥文件的名称。该文件必须是 PEM 编码的格式。 |
--server <server> |
VMCA 服务器的可选名称。默认情况下,该命令使用 localhost。 |
certool --rootca --cert=root.cert --privkey=privatekey.pem
certool --getdc
返回 vmdir 使用的默认域名。
选项 | 描述 |
---|---|
--server <server> |
VMCA 服务器的可选名称。默认情况下,该命令使用 localhost。 |
--port <port_num> |
可选的端口号。默认为端口 389。 |
certool --getdc
certool --waitVMDIR
等待 VMware Directory Service 运行或等待--wait指定的超时结束。将此选项与其他选项配合使用可调度特定任务,例如返回默认域名。
选项 | 描述 |
---|---|
--wait | 可选的等待分钟数。默认值为“3”。 |
--server <server> |
VMCA 服务器的可选名称。默认情况下,该命令使用 localhost。 |
--port <port_num> |
可选的端口号。默认为端口 389。 |
certool --waitVMDIR --wait 5
certool --waitVMCA
等待 VMCA 服务运行或等待指定的超时结束。将此选项与其他选项配合使用可调度特定任务,例如生成证书。
选项 | 描述 |
---|---|
--wait | 可选的等待分钟数。默认值为“3”。 |
--server <server> |
VMCA 服务器的可选名称。默认情况下,该命令使用 localhost。 |
--port <port_num> |
可选的端口号。默认为端口 389。 |
certool --waitVMCA --selfca
certool --publish-roots
强制更新根证书。此命令需要管理特权。
选项 | 描述 |
---|---|
--server <server> |
VMCA 服务器的可选名称。默认情况下,该命令使用 localhost。 |
certool --publish-roots