Los comandos de inicialización de certool permiten generar solicitudes de firma de certificados, ver y generar certificados y claves firmadas por VMware Certificate Authority (VMCA), importar certificados raíz y realizar otras operaciones de administración de certificados.
En muchos casos, se puede pasar un archivo de configuración a un comando certool. Consulte Cambiar las opciones de configuración de certool. Consulte Reemplazar los certificados firmado por VMCA existentes por certificados nuevos firmados por VMCA mediante la CLI para ver algunos ejemplos de uso. La ayuda de la línea de comandos proporciona detalles sobre las opciones.
certool --initcsr
Genera una solicitud de firma de certificados (CSR). El comando genera un archivo PKCS10 y una clave privada.
Opción | Descripción |
---|---|
--gencsr | Se necesita para generar las CSR. |
--privkey <key_file> | Nombre del archivo de clave privada. |
--pubkey <key_file> | Nombre del archivo de clave pública. |
--csrfile <csr_file> | Nombre del archivo de CSR que se enviará al proveedor de la entidad de certificación. |
--config <config_file> |
Nombre del archivo de configuración. Un archivo de configuración de ejemplo se encuentra en /usr/lib/vmware-vmca/share/config/certool.cfg. Como práctica recomendada, haga una copia del archivo de configuración predeterminado y reemplace los campos obligatorios. |
certool --gencsr --privkey=<filename> --pubkey=<filename> --csrfile=<filename>
certool --selfca
Crea un certificado autofirmado y aprovisiona el servidor de VMCA con una entidad de certificación raíz autofirmada. Esta opción es una de las formas más simples de aprovisionar el servidor de VMCA. Otra opción es aprovisionar el servidor VMCA con un certificado raíz externo de modo que VMCA sea una entidad de certificación intermedia. Consulte Convertir VMCA en una entidad de certificación intermedia mediante la CLI.
Este comando genera un certificado con la fecha establecida tres días antes para evitar conflictos entre las zonas horarias.
Opción | Descripción |
---|---|
--selfca | Se necesita para generar un certificado autofirmado. |
--predate <number_of_minutes> | Permite establecer el campo No válido hasta del certificado raíz en la cantidad de minutos determinada antes de la hora actual. Esta opción puede resultar útil para dar cuenta de posibles problemas con las zonas horarias. El valor máximo es tres días. |
--config <config_file> |
Nombre del archivo de configuración. Un archivo de configuración de ejemplo se encuentra en /usr/lib/vmware-vmca/share/config/certool.cfg. Como práctica recomendada, haga una copia del archivo de configuración predeterminado y reemplace los campos obligatorios. |
--server <server> |
Nombre opcional del servidor de VMCA. El comando usa el nombre localhost como valor predeterminado. |
machine-70-59:/usr/lib/vmware-vmca/bin # ./certool --predate=2280 --selfca --server= 192.0.2.24 [email protected]
certool --rootca
Importa un certificado raíz. Agrega el certificado especificado y la clave privada a VMCA. VMCA usa siempre el certificado raíz más reciente para la firma, pero pueden quedar otros certificados raíz de confianza hasta que los elimina manualmente. Esto significa que el usuario puede actualizar la infraestructura un paso a la vez y, por último, eliminar los certificados que ya no use.
Opción | Descripción |
---|---|
--rootca | Se necesita para importar una entidad de certificación raíz. |
--cert <certfile> |
Nombre del archivo de certificado. |
--privkey <key_file> | Nombre del archivo de clave privada. Este archivo debe estar en el formato codificado PEM. |
--server <server> |
Nombre opcional del servidor de VMCA. El comando usa el nombre localhost como valor predeterminado. |
certool --rootca --cert=root.cert --privkey=privatekey.pem
certool --getdc
Devuelve el nombre de dominio predeterminado que usa vmdir.
Opción | Descripción |
---|---|
--server <server> |
Nombre opcional del servidor de VMCA. El comando usa el nombre localhost como valor predeterminado. |
--port <port_num> |
Número de puerto opcional. El valor predeterminado es el puerto 389. |
certool --getdc
certool --waitVMDIR
Espere a que VMware Directory Service se ejecute o a que se cumpla el tiempo de espera especificado por --wait. Use esta opción, junto con otras opciones, para programar determinadas tareas, como obtener el nombre de dominio predeterminado.
Opción | Descripción |
---|---|
--wait | Cantidad opcional de minutos para esperar. El valor predeterminado es 3. |
--server <server> |
Nombre opcional del servidor de VMCA. El comando usa el nombre localhost como valor predeterminado. |
--port <port_num> |
Número de puerto opcional. El valor predeterminado es el puerto 389. |
certool --waitVMDIR --wait 5
certool --waitVMCA
Espere a que el servicio VMCA se ejecute o a que se cumpla el tiempo de espera especificado. Use esta opción, junto con otras opciones, para programar determinadas tareas, como generar un certificado.
Opción | Descripción |
---|---|
--wait | Cantidad opcional de minutos para esperar. El valor predeterminado es 3. |
--server <server> |
Nombre opcional del servidor de VMCA. El comando usa el nombre localhost como valor predeterminado. |
--port <port_num> |
Número de puerto opcional. El valor predeterminado es el puerto 389. |
certool --waitVMCA --selfca
certool --publish-roots
Fuerza la actualización de certificados raíz. Este comando requiere privilegios administrativos.
Opción | Descripción |
---|---|
--server <server> |
Nombre opcional del servidor de VMCA. El comando usa el nombre localhost como valor predeterminado. |
certool --publish-roots