Les commandes d'initialisation certool vous permettent de générer des demandes de signature de certificat, d'afficher et de générer des certificats et des clés qui sont signés par VMware Certificate Authority (VMCA), d'importer des certificats racines et d'effectuer d'autres opérations de gestion des certificats.
Dans de nombreux cas, vous soumettez un fichier de configuration à une commande certool. Reportez-vous à la section Modification des options de configuration de certool. Vous trouverez des exemples d'utilisation à la section Remplacer les certificats existants signés par VMCA par de nouveaux certificats signés par VMCA à l'aide de la CLI. L'aide de la ligne de commande fournit des détails sur les options.
certool --initcsr
Génère une demande de signature de certificat. La commande génère un fichier PKCS10 et une clé privée.
| Option | Description |
|---|---|
| --gencsr | Requis pour générer les demandes de signature de certificat. |
| --privkey <key_file> | Nom du fichier de clé privée. |
| --pubkey <key_file> | Nom du fichier de clé publique. |
| --csrfile <csr_file> | Nom du fichier de demandes de signature de certificat à envoyer au fournisseur d'autorité de certification. |
| --config <config_file> |
Nom du fichier de configuration. Un exemple de fichier de configuration est disponible à l'adresse /usr/lib/vmware-vmca/share/config/certool.cfg. Il est recommandé de faire une copie du fichier de configuration par défaut et de remplacer les champs requis. |
certool --gencsr --privkey=<filename> --pubkey=<filename> --csrfile=<filename>
certool --selfca
Crée un certificat auto-signé et provisionne le serveur VMCA avec une autorité de certification racine auto-signée. Cette option offre une méthode très simple pour provisionner le serveur VMCA. Si vous préférez, vous pouvez provisionner le serveur VMCA à l'aide d'un certificat racine tiers. Ainsi, VMCA est une autorité de certification intermédiaire. Reportez-vous à la section Faire de VMCA une autorité de certification intermédiaire à l'aide de l'interface de ligne de commande.
Cette commande génère un certificat prédaté de trois jours pour éviter les conflits de fuseau horaire.
| Option | Description |
|---|---|
| --selfca | Requis pour générer un certificat auto-signé. |
| --predate <number_of_minutes> | Permet de définir le champ Non valide avant du certificat racine sur un nombre de minutes avant l'heure actuelle. Cette option peut s'avérer utile pour contrer les problèmes potentiels liés aux fuseaux horaires. La valeur maximale est de trois jours. |
| --config <config_file> |
Nom du fichier de configuration. Un exemple de fichier de configuration est disponible à l'adresse /usr/lib/vmware-vmca/share/config/certool.cfg. Il est recommandé de faire une copie du fichier de configuration par défaut et de remplacer les champs requis. |
| --server <server> |
Nom facultatif du serveur VMCA. Par défaut, la commande utilise localhost. |
machine-70-59:/usr/lib/vmware-vmca/bin # ./certool --predate=2280 --selfca --server= 192.0.2.24 [email protected]
certool --rootca
Importe un certificat racine. Ajoute le certificat et la clé privée spécifiés à VMCA. VMCA utilise toujours le certificat racine le plus récent pour la signature, mais les autres certificats racine restent approuvés jusqu'à ce que vous les supprimiez manuellement. En d'autres termes, vous pouvez mettre à jour votre infrastructure étape par étape et, à la fin, supprimer les certificats que vous n'utilisez plus.
| Option | Description |
|---|---|
| --rootca | Requis pour importer une autorité de certification racine. |
| --cert <certfile> |
Nom du fichier de certificat. |
| --privkey <key_file> | Nom du fichier de clé privée. Ce fichier doit être codé au format PEM. |
| --server <server> |
Nom facultatif du serveur VMCA. Par défaut, la commande utilise localhost. |
certool --rootca --cert=root.cert --privkey=privatekey.pem
certool --getdc
Renvoie le nom de domaine que vmdir utilise par défaut.
| Option | Description |
|---|---|
| --server <server> |
Nom facultatif du serveur VMCA. Par défaut, la commande utilise localhost. |
| --port <port_num> |
Numéro de port facultatif. La valeur par défaut est le numéro 389. |
certool --getdc
certool --waitVMDIR
Patientez jusqu'à ce que Vmware Directory Service démarre ou jusqu'à ce que le délai spécifié par --wait expire. Combinez cette option à d'autres options pour planifier certaines tâches, par exemple le renvoi du nom de domaine par défaut.
| Option | Description |
|---|---|
| --wait | Nombre facultatif de minutes à attendre. La valeur par défaut est 3. |
| --server <server> |
Nom facultatif du serveur VMCA. Par défaut, la commande utilise localhost. |
| --port <port_num> |
Numéro de port facultatif. La valeur par défaut est le numéro 389. |
certool --waitVMDIR --wait 5
certool --waitVMCA
Patienter jusqu'à ce que le service VMCA démarre ou jusqu'à ce que le délai spécifié expire. Combinez cette option à d'autres options pour planifier certaines tâches, par exemple la génération de certificats.
| Option | Description |
|---|---|
| --wait | Nombre facultatif de minutes à attendre. La valeur par défaut est 3. |
| --server <server> |
Nom facultatif du serveur VMCA. Par défaut, la commande utilise localhost. |
| --port <port_num> |
Numéro de port facultatif. La valeur par défaut est le numéro 389. |
certool --waitVMCA --selfca
certool --publish-roots
Force la mise à jour des certificats racines. Cette commande nécessite des privilèges d'administration.
| Option | Description |
|---|---|
| --server <server> |
Nom facultatif du serveur VMCA. Par défaut, la commande utilise localhost. |
certool --publish-roots
