Mit den certool-Verwaltungsbefehlen können Sie Zertifikate anzeigen, generieren und widerrufen sowie Informationen zu Zertifikaten anzeigen.

certool --genkey

Erstellt ein privates und öffentliches Schlüsselpaar. Diese Dateien können dann zum Generieren eines Zertifikats verwendet werden, das durch VMCA signiert wird.

Option Beschreibung
--genkey Ist zum Erstellen eines privaten und öffentlichen Schlüssels erforderlich.
--privkey <keyfile> Name der privaten Schlüsseldatei
--pubkey <keyfile> Name der öffentlichen Schlüsseldatei

--server <server>

Optionaler Name des VMCA-Servers. Standardmäßig verwendet der Befehl „localhost“.

Beispiel:
certool --genkey --privkey=<filename> --pubkey=<filename>

certool --gencert

Erstellt ein Zertifikat vom VMCA-Server. Dieser Befehl verwendet die Information in certool.cfg oder in der festgelegten Konfigurationsdatei. Sie können das Zertifikat zur Bereitstellung von Maschinenzertifikaten oder Lösungsbenutzerzertifikate verwenden.

Option Beschreibung
--gencert Ist zum Erstellen eines Zertifikats erforderlich.

--cert <certfile>

Name der Zertifikatdatei. Die Datei muss im kodierten PEM-Format vorliegen.

--privkey <keyfile> Name der privaten Schlüsseldatei Die Datei muss im kodierten PEM-Format vorliegen.

--config <config_file>

Name der Konfigurationsdatei. Eine Beispielkonfigurationsdatei befindet sich unter /usr/lib/vmware-vmca/share/config/certool.cfg. Es hat sich bewährt, eine Kopie der Standardkonfigurationsdatei zu erstellen und die erforderlichen Felder zu ersetzen.

--server <server>

Optionaler Name des VMCA-Servers. Standardmäßig verwendet der Befehl „localhost“.

Beispiel:
certool --gencert --privkey=<filename> --cert=<filename> --config=<config_file>

certool --getrootca

Druckt das aktuelle Root-CA-Zertifikat in für Benutzer lesbarer Form. Diese Ausgabe ist nicht als Zertifikat nutzbar, sie wurde geändert, damit sie von Benutzern gelesen werden kann.

Option Beschreibung
--getrootca Ist zum Drucken des Rootzertifikats erforderlich.

--server <server>

Optionaler Name des VMCA-Servers. Standardmäßig verwendet der Befehl „localhost“.

Beispiel:
certool --getrootca --server=remoteserver

certool --viewcert

Druckt alle Felder in einem Zertifikat in für Benutzer lesbarer Form.

Option Beschreibung
--viewcert Ist zum Anzeigen eines Zertifikats erforderlich.

--cert <certfile>

Name der Konfigurationsdatei. Eine Beispielkonfigurationsdatei befindet sich unter /usr/lib/vmware-vmca/share/config/certool.cfg. Es hat sich bewährt, eine Kopie der Standardkonfigurationsdatei zu erstellen und die erforderlichen Felder zu ersetzen.

Beispiel:
 certool --viewcert --cert=<filename>

certool --enumcert

Listet alle Zertifikate auf, die der VMCA-Server kennt. Mit der erforderlichen filter-Option können Sie alle Zertifikate oder nur widerrufene, aktive oder abgelaufene Zertifikate auflisten.

Option Beschreibung
--enumcert Ist zum Auflisten aller Zertifikate erforderlich.
--filter [all | active] Erforderlicher Filter. Geben Sie „all“ oder „active“ an. Die Optionen „revoked“ und „expired“ werden derzeit nicht unterstützt.
Beispiel:
certool --enumcert --filter=active

certool --status

Sendet ein festgelegtes Zertifikat zum VMCA-Server, um zu prüfen, ob das Zertifikat widerrufen wurde. Gibt Certificate: REVOKED aus, wenn das Zertifikat widerrufen wird, und andernfalls Certificate: ACTIVE.

Option Beschreibung
--status Ist zum Prüfen des Status eines Zertifikats erforderlich.

--cert <certfile>

Name der Konfigurationsdatei. Eine Beispielkonfigurationsdatei befindet sich unter /usr/lib/vmware-vmca/share/config/certool.cfg. Es hat sich bewährt, eine Kopie der Standardkonfigurationsdatei zu erstellen und die erforderlichen Felder zu ersetzen.

--server <server>

Optionaler Name des VMCA-Servers. Standardmäßig verwendet der Befehl „localhost“.

Beispiel:
certool --status --cert=<filename>

certool --genselfcacert

Erstellt ein selbstsigniertes Zertifikat basierend auf den Werten in der Konfigurationsdatei. Dieser Befehl generiert ein um drei Tage rückdatiertes Zertifikat, um Zeitzonenkonflikte zu vermeiden.
Option Beschreibung
--genselfcacert Erforderlich zum Generieren eines selbstsignierten Zertifikats.
--outcert <cert_file> Name der Zertifikatdatei. Die Datei muss im kodierten PEM-Format vorliegen.
--outprivkey <key_file> Name der privaten Schlüsseldatei Die Datei muss im kodierten PEM-Format vorliegen.

--config <config_file>

Name der Konfigurationsdatei. Eine Beispielkonfigurationsdatei befindet sich unter /usr/lib/vmware-vmca/share/config/certool.cfg. Es hat sich bewährt, eine Kopie der Standardkonfigurationsdatei zu erstellen und die erforderlichen Felder zu ersetzen.

Beispiel:
certool --genselfcert --privkey=<filename> --cert=<filename> --config=<config_file>