Al ejecutar certool --gencert y otros comandos específicos de inicialización o administración de certificados, la CLI lee todos los valores de un archivo de configuración. Puede editar el archivo existente, anular el archivo de configuración predeterminado (certool.cfg) con la opción -–config=<file name> o anular los diferentes valores en la línea de comandos.

El archivo de configuración tiene varios campos con los siguientes valores predeterminados:

Country = US
Name= Acme
Organization = AcmeOrg
OrgUnit = AcmeOrg Engineering
State = California 
Locality = Palo Alto
IPAddress = 127.0.0.1	
Email = email@acme.com
Hostname = server.acme.com

Puede cambiar los valores en la configuración de la siguiente manera:

  • Cree una copia de seguridad del archivo de configuración y, a continuación, edite el archivo. Si utiliza el archivo de configuración predeterminado, no es necesario que lo especifique. O bien si cambió, por ejemplo, el nombre del archivo de configuración, utilice la opción de línea de comandos --config.

  • Anule el valor del archivo de configuración en la línea de comandos. Por ejemplo, para anular la localidad, ejecute este comando:

    certool -–gencert -–privkey=private.key –-Locality="Mountain View" 

Especifique --Name para reemplazar el campo Nombre común del nombre de asunto del certificado.

  • Para los certificados de usuarios de solución, el nombre es <sol_user name>@<domain> por convención, pero puede cambiarlo si se utiliza una convención diferente en el entorno.

  • Para los certificados SSL de máquina, se utiliza el FQDN de la máquina porque el cliente SSL revisa el campo Nombre común del nombre de asunto del certificado cuando comprueba el nombre de host de la máquina. Ya que una máquina puede tener más de un alias, los certificados tienen la extensión de campo Nombre alternativo de asunto, en la que se pueden especificar otros nombres (nombres DNS, direcciones IP, etc.). Sin embargo, VMCA permite solo un DNSName (en el campo Hostname) y ninguna otra opción de alias. Si es el usuario quien especifica la dirección IP, esta también se almacena en SubAltName.

El parámetro --Hostname se utiliza para especificar el DNSName de SubAltName del certificado.