Wenn Sie certool --gencert und bestimmte andere Zertifikatinitialisierungs- oder Verwaltungsbefehle ausführen, liest die Befehlszeilenschnittstelle (CLI) alle Werte aus einer Konfigurationsdatei ein. Sie können die vorhandene Datei bearbeiten, die Standardkonfigurationsdatei (certool.cfg) mithilfe der Option -–config=<Dateiname> außer Kraft setzen oder verschiedene Werte in der Befehlszeile überschreiben.

Die Konfigurationsdatei weist mehrere Felder mit den folgenden Standardwerten auf:

Country = US
Name= Acme
Organization = AcmeOrg
OrgUnit = AcmeOrg Engineering
State = California 
Locality = Palo Alto
IPAddress = 127.0.0.1	
Email = email@acme.com
Hostname = server.acme.com

Die Konfigurationswerte können Sie wie folgt ändern:

  • Erstellen Sie eine Sicherungskopie der Konfigurationsdatei und bearbeiten Sie die Datei. Falls Sie die Standardkonfigurationsdatei verwenden, müssen Sie die Datei nicht angeben. Andernfalls verwenden Sie die Befehlszeilenoption --config, falls Sie beispielsweise den Namen der Konfigurationsdatei geändert haben.

  • Überschreiben Sie den Wert für die Konfigurationsdatei in der Befehlszeile. Führen Sie beispielsweise den folgenden Befehl aus, um „Locality“ zu überschreiben:

    certool -–gencert -–privkey=private.key –-Locality="Mountain View" 

Geben Sie --Name an, um das Feld „CN“ für den Objektnamen des Zertifikats zu ersetzen.

  • Für Lösungsbenutzerzertifikate lautet der Name laut Konvention <Lösungsbenutzername>@<Domäne>, aber Sie können den Namen ändern, falls in Ihrer Umgebung eine andere Konvention verwendet wird.

  • Für Maschinen-SSL-Zertifikate wird der FQDN der Maschine verwendet, da der SSL-Client bei der Verifizierung des Hostnamens der Maschine das Feld „CN“ für den Objektnamen des Zertifikats überprüft. Eine Maschine kann mehrere Aliase aufweisen, weshalb Zertifikate das erweiterte Feld „Alternativnamen für Betreff“ enthalten, in dem Sie andere Namen angegeben können (DNS-Namen, IP-Adressen usw). VMCA erlaubt allerdings nur einen einzigen DNSName-Wert (im Feld Hostname) und keine anderen Aliasoptionen. Wenn die IP-Adresse vom Benutzer angegeben wird, wird sie ebenfalls in „SubAltName“ gespeichert.

Mithilfe des Parameters --Hostname wird der DNSName-Wert für „SubAltName“ des Zertifikats angegeben.