certool 初期化コマンドにより証明書の署名要求の生成、VMware Certificate Authority (VMCA) によって署名された証明書およびキーの表示および生成、ルート証明書のインポート、およびその他の証明書管理操作を実行することができます。
多くの場合、構成ファイルを certool コマンドに渡します。certool 構成オプションの変更を参照してください。使用例については、「CLI を使用した既存の VMCA 署名証明書の新しい VMCA 署名証明書への置き換え」を参照してください。コマンドライン ヘルプは、オプションに関する詳細を提供します。
certool --initcsr
証明書署名要求 (CSR) を生成します。このコマンドは、PKCS10 ファイルとプライベート キーを生成します。
オプション | 説明 |
---|---|
--gencsr | CSR を生成する場合に必要です。 |
--privkey <key_file> | プライベート キー ファイルの名前。 |
--pubkey <key_file> | パブリック キー ファイルの名前。 |
--csrfile <csr_file> | CA プロバイダに送信される CSR ファイルのファイル名。 |
--config <config_file> |
構成ファイルの名前。サンプル構成ファイルが /usr/lib/vmware-vmca/share/config/certool.cfg にあります。ベスト プラクティスとしては、デフォルトの構成ファイルのコピーを作成してから、必須フィールドを置き換えます。 |
certool --gencsr --privkey=<filename> --pubkey=<filename> --csrfile=<filename>
certool --selfca
自己署名証明書を作成し、自己署名ルート CA により VMCA サーバをプロビジョニングします。このオプションは、VMCA サーバのプロビジョニングを最も容易に実行する方法の 1 つです。代わりに、サードパーティのルート証明書を使用して VMCA サーバをプロビジョニングすることで、VMCA を中間 CA することができます。CLI を使用して VMCA を中間認証局にするを参照してください。
このコマンドにより、タイム ゾーンの競合を避けるため、3 日前の日付の証明書が生成されます。
オプション | 説明 |
---|---|
--selfca | 自己署名証明書を生成する場合に必要です。 |
--predate <number_of_minutes> | ルート証明書の [有効期間の開始日] フィールドを、現在時刻より前の指定の時間(分単位)に設定することができます。このオプションは、潜在的なタイム ゾーンの問題への対処に役立ちます。最大値は 3 日です。 |
--config <config_file> |
構成ファイルの名前。サンプル構成ファイルが /usr/lib/vmware-vmca/share/config/certool.cfg にあります。ベスト プラクティスとしては、デフォルトの構成ファイルのコピーを作成してから、必須フィールドを置き換えます。 |
--server <server> |
VMCA サーバのオプション名。このコマンドでは、デフォルトで localhost を使用します。 |
machine-70-59:/usr/lib/vmware-vmca/bin # ./certool --predate=2280 --selfca --server= 192.0.2.24 [email protected]
certool --rootca
ルート証明書をインポートします。指定した証明書およびプライベート キーを VMCA に追加します。VMware 認証局 (VMCA) は最新のルート証明書を署名に使用しますが、その他のルート証明書も、手動で削除するまでは引き続き信頼されます。つまり、一度に 1 段階ずつインフラストラクチャを更新し、最後に使用しなくなった証明書を削除できます。
オプション | 説明 |
---|---|
--rootca | ルート CA をインポートするために必要です。 |
--cert <certfile> |
証明書ファイルの名前。 |
--privkey <key_file> | プライベート キー ファイルの名前。このファイルは、PEM エンコード形式にする必要があります。 |
--server <server> |
VMCA サーバのオプション名。このコマンドでは、デフォルトで localhost を使用します。 |
certool --rootca --cert=root.cert --privkey=privatekey.pem
certool --getdc
vmdir によって使用されるデフォルトのドメイン名を戻します。
オプション | 説明 |
---|---|
--server <server> |
VMCA サーバのオプション名。このコマンドでは、デフォルトで localhost を使用します。 |
--port <port_num> |
オプションのポート番号。デフォルト設定はポート 389 です。 |
certool --getdc
certool --waitVMDIR
VMware Directory Service が稼動し始めるか、--wait によって指定されたタイムアウト時間が経過するまで待機します。他のオプションと共にこのオプションを使用し、デフォルトのドメイン名を返すなど特定のタスクをスケジュールします。
オプション | 説明 |
---|---|
--wait | オプションで指定する待機時間(分)。デフォルトは 3 です。 |
--server <server> |
VMCA サーバのオプション名。このコマンドでは、デフォルトで localhost を使用します。 |
--port <port_num> |
オプションのポート番号。デフォルト設定はポート 389 です。 |
certool --waitVMDIR --wait 5
certool --waitVMCA
VMCA サービスが稼動し始めるか、指定されたタイムアウト時間が経過するまで待機します。他のオプションと関連付けてこのオプションを使用し、証明書を生成するなど特定のタスクをスケジュールします。
オプション | 説明 |
---|---|
--wait | オプションで指定する待機時間(分)。デフォルトは 3 です。 |
--server <server> |
VMCA サーバのオプション名。このコマンドでは、デフォルトで localhost を使用します。 |
--port <port_num> |
オプションのポート番号。デフォルト設定はポート 389 です。 |
certool --waitVMCA --selfca
certool --publish-roots
ルート証明書の更新を強制的に実行します。このコマンドには管理権限が必要です。
オプション | 説明 |
---|---|
--server <server> |
VMCA サーバのオプション名。このコマンドでは、デフォルトで localhost を使用します。 |
certool --publish-roots