certool 初期化コマンドにより証明書の署名要求の生成、VMware Certificate Authority (VMCA) によって署名された証明書およびキーの表示および生成、ルート証明書のインポート、およびその他の証明書管理操作を実行することができます。

多くの場合、構成ファイルを certool コマンドに渡します。certool 構成オプションの変更を参照してください。使用例については、「CLI を使用した既存の VMCA 署名証明書の新しい VMCA 署名証明書への置き換え」を参照してください。コマンドライン ヘルプは、オプションに関する詳細を提供します。

certool --initcsr

証明書署名要求 (CSR) を生成します。このコマンドは、PKCS10 ファイルとプライベート キーを生成します。

オプション 説明
--gencsr CSR を生成する場合に必要です。
--privkey <key_file> プライベート キー ファイルの名前。
--pubkey <key_file> パブリック キー ファイルの名前。
--csrfile <csr_file> CA プロバイダに送信される CSR ファイルのファイル名。

--config <config_file>

構成ファイルの名前。サンプル構成ファイルが /usr/lib/vmware-vmca/share/config/certool.cfg にあります。ベスト プラクティスとしては、デフォルトの構成ファイルのコピーを作成してから、必須フィールドを置き換えます。

例:
certool --gencsr --privkey=<filename> --pubkey=<filename> --csrfile=<filename>

certool --selfca

自己署名証明書を作成し、自己署名ルート CA により VMCA サーバをプロビジョニングします。このオプションは、VMCA サーバのプロビジョニングを最も容易に実行する方法の 1 つです。代わりに、サードパーティのルート証明書を使用して VMCA サーバをプロビジョニングすることで、VMCA を中間 CA することができます。CLI を使用して VMCA を中間認証局にするを参照してください。

このコマンドにより、タイム ゾーンの競合を避けるため、3 日前の日付の証明書が生成されます。

オプション 説明
--selfca 自己署名証明書を生成する場合に必要です。
--predate <number_of_minutes> ルート証明書の [有効期間の開始日] フィールドを、現在時刻より前の指定の時間(分単位)に設定することができます。このオプションは、潜在的なタイム ゾーンの問題への対処に役立ちます。最大値は 3 日です。

--config <config_file>

構成ファイルの名前。サンプル構成ファイルが /usr/lib/vmware-vmca/share/config/certool.cfg にあります。ベスト プラクティスとしては、デフォルトの構成ファイルのコピーを作成してから、必須フィールドを置き換えます。

--server <server>

VMCA サーバのオプション名。このコマンドでは、デフォルトで localhost を使用します。

例:
machine-70-59:/usr/lib/vmware-vmca/bin # ./certool --predate=2280  --selfca --server= 192.0.2.24 [email protected]

certool --rootca

ルート証明書をインポートします。指定した証明書およびプライベート キーを VMCA に追加します。VMware 認証局 (VMCA) は最新のルート証明書を署名に使用しますが、その他のルート証明書も、手動で削除するまでは引き続き信頼されます。つまり、一度に 1 段階ずつインフラストラクチャを更新し、最後に使用しなくなった証明書を削除できます。

オプション 説明
--rootca ルート CA をインポートするために必要です。

--cert <certfile>

証明書ファイルの名前。
--privkey <key_file> プライベート キー ファイルの名前。このファイルは、PEM エンコード形式にする必要があります。

--server <server>

VMCA サーバのオプション名。このコマンドでは、デフォルトで localhost を使用します。

例:
certool --rootca --cert=root.cert --privkey=privatekey.pem

certool --getdc

vmdir によって使用されるデフォルトのドメイン名を戻します。

オプション 説明

--server <server>

VMCA サーバのオプション名。このコマンドでは、デフォルトで localhost を使用します。

--port <port_num>

オプションのポート番号。デフォルト設定はポート 389 です。

例:
certool --getdc

certool --waitVMDIR

VMware Directory Service が稼動し始めるか、--wait によって指定されたタイムアウト時間が経過するまで待機します。他のオプションと共にこのオプションを使用し、デフォルトのドメイン名を返すなど特定のタスクをスケジュールします。

オプション 説明
--wait オプションで指定する待機時間(分)。デフォルトは 3 です。

--server <server>

VMCA サーバのオプション名。このコマンドでは、デフォルトで localhost を使用します。

--port <port_num>

オプションのポート番号。デフォルト設定はポート 389 です。

例:
certool --waitVMDIR --wait 5

certool --waitVMCA

VMCA サービスが稼動し始めるか、指定されたタイムアウト時間が経過するまで待機します。他のオプションと関連付けてこのオプションを使用し、証明書を生成するなど特定のタスクをスケジュールします。

オプション 説明
--wait オプションで指定する待機時間(分)。デフォルトは 3 です。

--server <server>

VMCA サーバのオプション名。このコマンドでは、デフォルトで localhost を使用します。

--port <port_num>

オプションのポート番号。デフォルト設定はポート 389 です。

例:
certool --waitVMCA --selfca

certool --publish-roots

ルート証明書の更新を強制的に実行します。このコマンドには管理権限が必要です。

オプション 説明

--server <server>

VMCA サーバのオプション名。このコマンドでは、デフォルトで localhost を使用します。

例:
certool --publish-roots