Mit den Befehlen zur certool-Initialisierung können Sie Zertifikatsignieranforderungen generieren, VMCA-signierte Zertifikate und Schlüssel anzeigen und generieren, Stammzertifikate importieren und weitere Zertifikatsverwaltungsvorgänge durchführen.

In vielen Fällen übergeben Sie mit einem certool-Befehl eine Konfigurationsdatei. Siehe Ändern der certool-Konfiguration. Einige Beispiele für die Verwendung finden Sie unter Ersetzen vorhandener VMCA-signierter Zertifikate durch neue VMCA-signierte Zertifikate.

certool --initcsr

Generiert eine Zertifikatsignieranforderung (Certificate Signing Request, CSR). Der Befehl generiert eine PKCS10-Datei und einen privaten Schlüssel.

Option

Beschreibung

--initcsr

Erforderlich zum Generieren von CSRs

--privkey <Schlüsseldatei>

Name der privaten Schlüsseldatei

--pubkey <Schlüsseldatei>

Name der öffentlichen Schlüsseldatei

--csrfile <CSR-Datei>

Dateinamen der CSR-Datei, die an den Anbieter der Zertifizierungsstelle gesendet werden soll

--config <Konfigurationsdatei>

Optionaler Name der Konfigurationsdatei. certool.cfg ist die Standardeinstellung.

Beispiel:

certool --initcsr --privkey=<filename> --pubkey=<filename> --csrfile=<filename>

certool --selfca

Erstellt ein selbstsigniertes Zertifikat und stattet den VMCA-Server mit einer selbstsignierten Stammzertifizierungsstelle aus. Diese Option ist eine der einfachsten Methoden zur Bereitstellung von Zertifikaten für den VMCA-Server. Sie können dem VMCA-Server auch ein Stammzertifikat eines Drittanbieters zur Verfügung stellen, wobei VMCA als Zwischenzertifizierungsstelle fungiert. Siehe Verwenden von VMCA als Zwischenzertifizierungsstelle.

Dieser Befehl generiert ein um drei Tage rückdatiertes Zertifikat, um Zeitzonenkonflikte zu vermeiden.

Option

Beschreibung

--selfca

Erforderlich zum Generieren eines selbstsignierten Zertifikats.

--predate <Anzahl_der_Minuten>

Ermöglicht im Feld „Gültig nicht vor“ des Stammzertifikats die Eingabe einer Anzahl von Minuten vor der aktuellen Uhrzeit. Mit dieser Option können Sie potenzielle Probleme aufgrund von Zeitverschiebungen vermeiden. Der Maximalwert beträgt drei Tage.

--config <Konfigurationsdatei>

Optionaler Name der Konfigurationsdatei. certool.cfg ist die Standardeinstellung.

--server <Server>

Optionaler Name des VMCA-Servers. Standardmäßig verwendet der Befehl „localhost“.

Beispiel:

machine-70-59:/usr/lib/vmware-vmca/bin # ./certool --predate=2280  --selfca --server= 192.0.2.24 --srp-upn=administrator@vsphere.local

certool --rootca

Importiert ein Stammzertifikat. Fügt das Zertifikat und den privaten Schlüssel der VMCA hinzu. VMCA verwendet zur Signierung stets das aktuellste Stammzertifikat, aber andere Zertifikate stehen nach wie vor zur Verfügung. Das bedeutet, dass Sie Ihre Infrastruktur schrittweise aktualisieren und zum Schluss alle nicht mehr benötigten Zertifikate löschen können.

Option

Beschreibung

--rootca

Erforderlich zum Importieren einer Stammzertifizierungsstelle.

--cert <Zertifikatsdatei>

Optionaler Name der Konfigurationsdatei. certool.cfg ist die Standardeinstellung.

--privkey <Schlüsseldatei>

Name der privaten Schlüsseldatei Die Datei muss im kodierten PEM-Format vorliegen.

--server <Server>

Optionaler Name des VMCA-Servers. Standardmäßig verwendet der Befehl „localhost“.

Beispiel:

certool --rootca --cert=root.cert --privkey=privatekey.pem

certool --getdc

Gibt den Standarddomänennamen zurück, der vom vmdir verwendet wird.

Option

Beschreibung

--server <Server>

Optionaler Name des VMCA-Servers. Standardmäßig verwendet der Befehl „localhost“.

--port <Portnummer>

Optionale Portnummer. Die Standardeinstellung ist Port 389.

Beispiel:

certool --getdc

certool --waitVMDIR

Warten Sie, bis der VMware-Verzeichnisdienst ausgeführt wird oder die durch --wait angegebene Zeitüberschreitungsdauer abgelaufen ist. Verwenden Sie diese Option zusammen mit anderen Optionen zur Planung gewisser Aufgaben, z. B. der Rückgabe des Standarddomänennamens.

Option

Beschreibung

--wait

Optionale Anzahl von Minuten, die gewartet werden soll. Die Standardeinstellung lautet 3.

--server <Server>

Optionaler Name des VMCA-Servers. Standardmäßig verwendet der Befehl „localhost“.

--port <Portnummer>

Optionale Portnummer. Die Standardeinstellung ist Port 389.

Beispiel:

certool --waitVMDIR --wait 5

certool --waitVMCA

Warten Sie, bis der VMCA-Dienst ausgeführt wird oder die angegebene Zeitüberschreitungsdauer abgelaufen ist. Verwenden Sie diese Option zusammen mit anderen Optionen zur Planung gewisser Aufgaben, z. B. der Generierung von Zertifikaten.

Option

Beschreibung

--wait

Optionale Anzahl von Minuten, die gewartet werden soll. Die Standardeinstellung lautet 3.

--server <Server>

Optionaler Name des VMCA-Servers. Standardmäßig verwendet der Befehl „localhost“.

--port <Portnummer>

Optionale Portnummer. Die Standardeinstellung ist Port 389.

Beispiel:

certool --waitVMCA --selfca

certool --publish-roots

Erzwingt ein Update der Stammzertifikate. Für diesen Befehl sind Administratorrechte erforderlich.

Option

Beschreibung

--server <Server>

Optionaler Name des VMCA-Servers. Standardmäßig verwendet der Befehl „localhost“.

Beispiel:

certool --publish-roots