Les commandes d'initialisation certool vous permettent de générer des demandes de signature de certificat, d'afficher et de générer des certificats et des clés qui sont signés par VMCA, d'importer des certificats racines et d'effectuer d'autres opérations de gestion des certificats.

Dans de nombreux cas, vous soumettez un fichier de configuration à une commande certool. Reportez-vous à Modification des options de configuration de certool. Vous trouverez des exemples d'utilisation à la section Remplacer les certificats existants signés par l'autorité de certification VMware (VMCA) par de nouveaux certificats. L'aide de la ligne de commande fournit des détails sur les options.

certool --initcsr

Génère une demande de signature de certificat. La commande génère un fichier PKCS10 et une clé privée.

Option

Description

--initcsr

Requis pour générer les demandes de signature de certificat.

--privkey <key_file>

Nom du fichier de clé privée.

--pubkey <key_file>

Nom du fichier de clé publique.

--csrfile <csr_file>

Nom du fichier de demandes de signature de certificat à envoyer au fournisseur d'autorité de certification.

--config <config_file>

Nom facultatif du fichier de configuration. Défini sur certool.cfg par défaut.

Exemple :

certool --initcsr --privkey=<filename> --pubkey=<filename> --csrfile=<filename>

certool --selfca

Crée un certificat auto-signé et provisionne le serveur VMCA avec une autorité de certification racine auto-signée. Cette option offre une méthode très simple pour provisionner le serveur VMCA. Si vous préférez, vous pouvez provisionner le serveur VMCA à l'aide d'un certificat racine tiers. Ainsi, VMCA est une autorité de certification intermédiaire. Reportez-vous à Utiliser VMCA en tant qu'autorité de certificat intermédiaire.

Cette commande génère un certificat prédaté de trois jours pour éviter les conflits de fuseau horaire.

Option

Description

--selfca

Requis pour générer un certificat auto-signé.

--predate <number_of_minutes>

Permet de définir le champ Non valide avant du certificat racine sur un nombre de minutes avant l'heure actuelle. Cette option peut s'avérer utile pour contrer les problèmes potentiels liés aux fuseaux horaires. La valeur maximale est de trois jours.

--config <config_file>

Nom facultatif du fichier de configuration. Défini sur certool.cfg par défaut.

--server <server>

Nom facultatif du serveur VMCA. Par défaut, la commande utilise localhost.

Exemple :

machine-70-59:/usr/lib/vmware-vmca/bin # ./certool --predate=2280  --selfca --server= 192.0.2.24 --srp-upn=administrator@vsphere.local

certool --rootca

Importe un certificat racine. Ajoute le certificat et la clé privée spécifiés à VMCA. VMCA utilise toujours le certificat racine le plus récent pour la signature, mais les autres certificats racine restent approuvés jusqu'à ce que vous les supprimiez manuellement. En d'autres termes, vous pouvez mettre à jour votre infrastructure étape par étape et, à la fin, supprimer les certificats que vous n'utilisez plus.

Option

Description

--rootca

Requis pour importer une autorité de certification racine.

--cert <certfile>

Nom facultatif du fichier de configuration. Défini sur certool.cfg par défaut.

--privkey <key_file>

Nom du fichier de clé privée. Ce fichier doit être codé au format PEM.

--server <server>

Nom facultatif du serveur VMCA. Par défaut, la commande utilise localhost.

Exemple :

certool --rootca --cert=root.cert --privkey=privatekey.pem

certool --getdc

Renvoie le nom de domaine que vmdir utilise par défaut.

Option

Description

--server <server>

Nom facultatif du serveur VMCA. Par défaut, la commande utilise localhost.

--port <port_num>

Numéro de port facultatif. La valeur par défaut est le numéro 389.

Exemple :

certool --getdc

certool --waitVMDIR

Patientez jusqu'à ce que Vmware Directory Service démarre ou jusqu'à ce que le délai spécifié par --wait expire. Combinez cette option à d'autres options pour planifier certaines tâches, par exemple le renvoi du nom de domaine par défaut.

Option

Description

--wait

Nombre facultatif de minutes à attendre. La valeur par défaut est 3.

--server <server>

Nom facultatif du serveur VMCA. Par défaut, la commande utilise localhost.

--port <port_num>

Numéro de port facultatif. La valeur par défaut est le numéro 389.

Exemple :

certool --waitVMDIR --wait 5

certool --waitVMCA

Patienter jusqu'à ce que le service VMCA démarre ou jusqu'à ce que le délai spécifié expire. Combinez cette option à d'autres options pour planifier certaines tâches, par exemple la génération de certificats.

Option

Description

--wait

Nombre facultatif de minutes à attendre. La valeur par défaut est 3.

--server <server>

Nom facultatif du serveur VMCA. Par défaut, la commande utilise localhost.

--port <port_num>

Numéro de port facultatif. La valeur par défaut est le numéro 389.

Exemple :

certool --waitVMCA --selfca

certool --publish-roots

Force la mise à jour des certificats racines. Cette commande nécessite des privilèges d'administration.

Option

Description

--server <server>

Nom facultatif du serveur VMCA. Par défaut, la commande utilise localhost.

Exemple :

certool --publish-roots