certool 初期化コマンドにより証明書の署名要求の生成、VMCA によって署名された証明書およびキーの表示および生成、ルート証明書のインポート、およびその他の証明書管理操作を実行することができます。

多くの場合、構成ファイルを certool コマンドに渡します。certool 構成の変更 を参照してください。使用例については、新規の VMCA 署名付き証明書による既存の VMCA 署名付き証明書の置き換えを参照してください。

certool --initcsr

証明書署名要求 (CSR) を生成します。このコマンドは、PKCS10 ファイルとプライベート キーを生成します。

オプション

説明

--initcsr

CSR を生成する場合に必要です。

--privkey <key_file>

プライベート キー ファイルの名前。

--pubkey <key_file>

パブリック キー ファイルの名前。

--csrfile <csr_file>

CA プロバイダに送信される CSR ファイルのファイル名。

--config <config_file>

構成ファイルのオプション名。デフォルトの名前は certool.cfg です。

例:

certool --initcsr --privkey=<filename> --pubkey=<filename> --csrfile=<filename>

certool --selfca

自己署名証明書を作成し、自己署名ルート CA により VMCA サーバをプロビジョニングします。このオプションを使用する方法は、VMCA サーバをプロビジョニングするための最も簡単な方法の 1 つです。代わりに、VMCA が中間 CA となるように、サードパーティのルート証明書によって VMCA サーバをプロビジョニングすることができます。中間認証局としての VMCA の使用 を参照してください。

このコマンドにより、タイム ゾーンの競合を避けるため、3 日前の日付の証明書が生成されます。

オプション

説明

--selfca

自己署名証明書を生成する場合に必要です。

--predate <number_of_minutes>

ルート証明書の [有効期間の開始日] フィールドを、現在時刻より前の指定の時間(分単位)に設定することができます。このオプションは、潜在的なタイム ゾーンの問題に対処するのに役立ちます。最大値は 3 日です。

--config <config_file>

構成ファイルのオプション名。デフォルトの名前は certool.cfg です。

--server <server>

VMCA サーバのオプション名。このコマンドでは、デフォルトで localhost を使用します。

例:

machine-70-59:/usr/lib/vmware-vmca/bin # ./certool --predate=2280  --selfca --server= 192.0.2.24 --srp-upn=administrator@vsphere.local

certool --rootca

ルート証明書をインポートします。指定した証明書およびプライベート キーを VMCA に追加します。VMCA は常に、署名に最新のルート証明書を使用しますが、その他のルート証明書も引き続き使用できます。つまり、一度に 1 段階ずつインフラストラクチャを更新し、最後に使用しなくなった証明書を削除できます。

オプション

説明

--rootca

ルート CA をインポートするために必要です。

--cert <certfile>

構成ファイルのオプション名。デフォルトの名前は certool.cfg です。

--privkey <key_file>

プライベート キー ファイルの名前。このファイルは、PEM エンコード形式にする必要があります。

--server <server>

VMCA サーバのオプション名。このコマンドでは、デフォルトで localhost を使用します。

例:

certool --rootca --cert=root.cert --privkey=privatekey.pem

certool --getdc

vmdir によって使用されるデフォルトのドメイン名を戻します。

オプション

説明

--server <server>

VMCA サーバのオプション名。このコマンドでは、デフォルトで localhost を使用します。

--port <port_num>

オプションのポート番号。デフォルト設定はポート 389 です。

例:

certool --getdc

certool --waitVMDIR

VMware ディレクトリ サービスが稼動し始めるか、--wait によって指定されたタイムアウト時間が経過するまで待機します。他のオプションと関連付けてこのオプションを使用し、デフォルトのドメイン名を返すなど特定のタスクをスケジュールします。

オプション

説明

--wait

オプションで指定する待機時間(分)。デフォルトは 3 です。

--server <server>

VMCA サーバのオプション名。このコマンドでは、デフォルトで localhost を使用します。

--port <port_num>

オプションのポート番号。デフォルト設定はポート 389 です。

例:

certool --waitVMDIR --wait 5

certool --waitVMCA

VMCA サービスが稼動し始めるか、指定されたタイムアウト時間が経過するまで待機します。他のオプションと関連付けてこのオプションを使用し、証明書を生成するなど特定のタスクをスケジュールします。

オプション

説明

--wait

オプションで指定する待機時間(分)。デフォルトは 3 です。

--server <server>

VMCA サーバのオプション名。このコマンドでは、デフォルトで localhost を使用します。

--port <port_num>

オプションのポート番号。デフォルト設定はポート 389 です。

例:

certool --waitVMCA --selfca

certool --publish-roots

ルート証明書の更新を強制的に実行します。このコマンドには管理権限が必要です。

オプション

説明

--server <server>

VMCA サーバのオプション名。このコマンドでは、デフォルトで localhost を使用します。

例:

certool --publish-roots