Mit den Befehlen zur certool-Initialisierung können Sie Zertifikatssignieranforderungen generieren, von der VMware Certificate Authority (VMCA) signierte Zertifikate und Schlüssel anzeigen und generieren, Root-Zertifikate importieren und weitere Zertifikatsverwaltungsvorgänge durchführen.
In vielen Fällen übergeben Sie mit einem certool-Befehl eine Konfigurationsdatei. Weitere Informationen finden Sie unter Ändern der certool-Konfigurationsoptionen. Einige Beispiele für die Verwendung finden Sie unter Ersetzen der vorhandenen VMCA-signierten Zertifikate durch neue VMCA-signierte Zertifikate anhand der CLI. In der Befehlszeilen-Hilfe finden Sie Details zu diesen Optionen.
certool --initcsr
Generiert eine Zertifikatsignieranforderung (Certificate Signing Request, CSR). Der Befehl generiert eine PKCS10-Datei und einen privaten Schlüssel.
Option | Beschreibung |
---|---|
--gencsr | Erforderlich zum Generieren von CSRs |
--privkey <key_file> | Name der privaten Schlüsseldatei |
--pubkey <key_file> | Name der öffentlichen Schlüsseldatei |
--csrfile <csr_file> | Dateinamen der CSR-Datei, die an den Anbieter der Zertifizierungsstelle gesendet werden soll |
--config <config_file> |
Name der Konfigurationsdatei. Eine Beispielkonfigurationsdatei befindet sich unter /usr/lib/vmware-vmca/share/config/certool.cfg. Es hat sich bewährt, eine Kopie der Standardkonfigurationsdatei zu erstellen und die erforderlichen Felder zu ersetzen. |
certool --gencsr --privkey=<filename> --pubkey=<filename> --csrfile=<filename>
certool --selfca
Erstellt ein selbstsigniertes Zertifikat und stattet den VMCA-Server mit einer selbstsignierten Stammzertifizierungsstelle aus. Diese Option ist eine der einfachsten Methoden zur Bereitstellung von Zertifikaten für den VMCA-Server. Sie können dem VMCA-Server auch ein Stammzertifikat eines Drittanbieters zur Verfügung stellen, wobei VMCA als Zwischenzertifizierungsstelle fungiert. Weitere Informationen hierzu finden Sie unter Festlegen von VMCA als Zwischenzertifizierungsstelle mithilfe der CLI.
Dieser Befehl generiert ein um drei Tage rückdatiertes Zertifikat, um Zeitzonenkonflikte zu vermeiden.
Option | Beschreibung |
---|---|
--selfca | Erforderlich zum Generieren eines selbstsignierten Zertifikats. |
--predate <number_of_minutes> | Ermöglicht im Feld „Gültig nicht vor“ des Root-Zertifikats die Eingabe einer Anzahl von Minuten vor der aktuellen Uhrzeit. Mit dieser Option können Sie potenzielle Probleme aufgrund von Zeitverschiebungen vermeiden. Der Maximalwert beträgt drei Tage. |
--config <config_file> |
Name der Konfigurationsdatei. Eine Beispielkonfigurationsdatei befindet sich unter /usr/lib/vmware-vmca/share/config/certool.cfg. Es hat sich bewährt, eine Kopie der Standardkonfigurationsdatei zu erstellen und die erforderlichen Felder zu ersetzen. |
--server <server> |
Optionaler Name des VMCA-Servers. Standardmäßig verwendet der Befehl „localhost“. |
machine-70-59:/usr/lib/vmware-vmca/bin # ./certool --predate=2280 --selfca --server= 192.0.2.24 [email protected]
certool --rootca
Importiert ein Stammzertifikat. Fügt das Zertifikat und den privaten Schlüssel der VMCA hinzu. VMCA verwendet zum Signieren stets das aktuellste Stammzertifikat, aber andere Zertifikate stehen nach wie vor zur Verfügung, es sei denn, Sie löschen sie manuell. Das bedeutet, dass Sie Ihre Infrastruktur schrittweise aktualisieren und zum Schluss alle nicht mehr benötigten Zertifikate löschen können.
Option | Beschreibung |
---|---|
--rootca | Erforderlich zum Importieren einer Stammzertifizierungsstelle. |
--cert <certfile> |
Name der Zertifikatdatei. |
--privkey <key_file> | Name der privaten Schlüsseldatei Die Datei muss im kodierten PEM-Format vorliegen. |
--server <server> |
Optionaler Name des VMCA-Servers. Standardmäßig verwendet der Befehl „localhost“. |
certool --rootca --cert=root.cert --privkey=privatekey.pem
certool --getdc
Gibt den Standarddomänennamen zurück, der vom vmdir verwendet wird.
Option | Beschreibung |
---|---|
--server <server> |
Optionaler Name des VMCA-Servers. Standardmäßig verwendet der Befehl „localhost“. |
--port <port_num> |
Optionale Portnummer. Die Standardeinstellung ist Port 389. |
certool --getdc
certool --waitVMDIR
Warten Sie, bis der VMware Directory Service ausgeführt wird oder die durch --wait angegebene Zeitüberschreitungsdauer abgelaufen ist. Verwenden Sie diese Option mit anderen Optionen zur Planung bestimmter Aufgaben, wie z. B. der Rückgabe des Namens der Standarddomäne.
Option | Beschreibung |
---|---|
--wait | Optionale Anzahl von Minuten, die gewartet werden soll. Die Standardeinstellung lautet 3. |
--server <server> |
Optionaler Name des VMCA-Servers. Standardmäßig verwendet der Befehl „localhost“. |
--port <port_num> |
Optionale Portnummer. Die Standardeinstellung ist Port 389. |
certool --waitVMDIR --wait 5
certool --waitVMCA
Warten Sie, bis der VMCA-Dienst ausgeführt wird oder die angegebene Zeitüberschreitungsdauer abgelaufen ist. Verwenden Sie diese Option zusammen mit anderen Optionen zur Planung gewisser Aufgaben, z. B. der Generierung von Zertifikaten.
Option | Beschreibung |
---|---|
--wait | Optionale Anzahl von Minuten, die gewartet werden soll. Die Standardeinstellung lautet 3. |
--server <server> |
Optionaler Name des VMCA-Servers. Standardmäßig verwendet der Befehl „localhost“. |
--port <port_num> |
Optionale Portnummer. Die Standardeinstellung ist Port 389. |
certool --waitVMCA --selfca
certool --publish-roots
Erzwingt ein Update der Stammzertifikate. Für diesen Befehl sind Administratorrechte erforderlich.
Option | Beschreibung |
---|---|
--server <server> |
Optionaler Name des VMCA-Servers. Standardmäßig verwendet der Befehl „localhost“. |
certool --publish-roots