I comandi di inizializzazione certool consentono di generare richieste di firma dei certificati, visualizzare e generare certificati e chiavi firmati da VMware Certificate Authority (VMCA), importare certificati root ed eseguire altre operazioni di gestione dei certificati.
In molti casi, è possibile passare un file di configurazione tramite un comando certool. Vedere Modifica delle opzioni di configurazione di certool. Per consultare alcuni esempi di utilizzo, vedere Sostituzione dei certificati firmati da VMCA esistenti con nuovi certificati firmati da VMCA tramite la CLI. La guida della riga di comando fornisce dettagli sulle opzioni.
certool --initcsr
Genera richiesta di firma del certificato (CSR). Il comando genera un file PKCS10 e una chiave privata.
Opzione | Descrizione |
---|---|
--gencsr | Obbligatorio per la generazione di CSR. |
--privkey <key_file> | Nome del file della chiave privata. |
--pubkey <key_file> | Nome del file della chiave pubblica. |
--csrfile <csr_file> | Nome file CSR da inviare al provider CA. |
--config <config_file> |
Nome del file di configurazione. Un file di configurazione di esempio si trova in /usr/lib/vmware-vmca/share/config/certool.cfg. È consigliabile creare una copia del file di configurazione predefinito e sostituire i campi obbligatori. |
certool --gencsr --privkey=<filename> --pubkey=<filename> --csrfile=<filename>
certool --selfca
Crea un certificato autofirmato ed esegue il provisioning al server VMCA di una CA root autofirmata. L'uso di questa opzione è uno dei modi più semplici per eseguire il provisioning al server VMCA. In alternativa è possibile eseguire il provisioning al server VMCA di un certificato root di terze parti, in modo che VMCA funga da CA intermedia. Vedere Impostazione di VMCA come autorità di certificazione intermedia tramite la CLI.
Questo comando genera un certificato retrodatato di tre giorni per evitare conflitti di fuso orario.
Opzione | Descrizione |
---|---|
--selfca | Obbligatorio per la generazione di un certificato autofirmato. |
--predate <number_of_minutes> | Consente di impostare il campo Valido non prima del certificato root sul numero di minuti specificato antecedenti l'ora corrente. Questa opzione può essere utile per gestire potenziali problemi relativi ai fuso orario. Il massimo è di tre giorni. |
--config <config_file> |
Nome del file di configurazione. Un file di configurazione di esempio si trova in /usr/lib/vmware-vmca/share/config/certool.cfg. È consigliabile creare una copia del file di configurazione predefinito e sostituire i campi obbligatori. |
--server <server> |
Nome facoltativo del server VMCA. Per impostazione predefinita, il comando utilizza localhost. |
machine-70-59:/usr/lib/vmware-vmca/bin # ./certool --predate=2280 --selfca --server= 192.0.2.24 [email protected]
certool --rootca
Importa un certificato root. Aggiunge il certificato specificato e la chiave privata a VMCA. VMCA utilizza sempre il certificato root più recente per la firma, mentre gli altri certificati root rimangono attendibili finché non vengono eliminati manualmente. Ciò significa che è possibile aggiornare l'infrastruttura un passaggio alla volta, per poi eliminare alla fine i certificati che non si utilizzano più.
Opzione | Descrizione |
---|---|
--rootca | Obbligatorio per l'importazione di un'autorità di certificazione root. |
--cert <certfile> |
Nome del file del certificato. |
--privkey <key_file> | Nome del file della chiave privata. Questo file deve essere in formato PEM codificato. |
--server <server> |
Nome facoltativo del server VMCA. Per impostazione predefinita, il comando utilizza localhost. |
certool --rootca --cert=root.cert --privkey=privatekey.pem
certool --getdc
Restituisce il nome dominio predefinito utilizzato da vmdir.
Opzione | Descrizione |
---|---|
--server <server> |
Nome facoltativo del server VMCA. Per impostazione predefinita, il comando utilizza localhost. |
--port <port_num> |
Numero di porta facoltativo. La porta predefinita è 389. |
certool --getdc
certool --waitVMDIR
Attende che VMware Directory Service sia in esecuzione o che sia trascorso il timeout specificato da --wait. Utilizzare questa opzione in combinazione con altre opzioni quando si pianificano determinate attività, come ad esempio la restituzione del nome dominio predefinito.
Opzione | Descrizione |
---|---|
--wait | Il numero di minuti da attendere (facoltativo). Il valore predefinito è 3. |
--server <server> |
Nome facoltativo del server VMCA. Per impostazione predefinita, il comando utilizza localhost. |
--port <port_num> |
Numero di porta facoltativo. La porta predefinita è 389. |
certool --waitVMDIR --wait 5
certool --waitVMCA
Attendere che il servizio VMCA sia in esecuzione o che sia trascorso il timeout specificato. Utilizzare questa opzione in combinazione con altre opzioni quando si pianificano determinate attività, come ad esempio per la generazione di un certificato.
Opzione | Descrizione |
---|---|
--wait | Il numero di minuti da attendere (facoltativo). Il valore predefinito è 3. |
--server <server> |
Nome facoltativo del server VMCA. Per impostazione predefinita, il comando utilizza localhost. |
--port <port_num> |
Numero di porta facoltativo. La porta predefinita è 389. |
certool --waitVMCA --selfca
certool --publish-roots
Forza un aggiornamento dei certificati root. Questo comando richiede privilegi amministrativi.
Opzione | Descrizione |
---|---|
--server <server> |
Nome facoltativo del server VMCA. Per impostazione predefinita, il comando utilizza localhost. |
certool --publish-roots