certool 초기화 명령을 사용하면 인증서 서명 요청을 생성하고 VMCA(VMware Certificate Authority)에서 서명한 인증서 및 키를 보고 생성하며 루트 인증서를 가져오고 기타 인증서 관리 작업을 수행할 수 있습니다.
대부분의 경우 certool 명령에 구성 파일을 전달합니다. certool 구성 옵션 변경의 내용을 참조하십시오. 몇 가지 사용 예는 CLI를 사용하여 기존 VMCA 서명 인증서를 VMCA 서명 인증서로 교체 항목을 참조하십시오. 명령줄 도움말은 옵션에 대한 세부 정보를 제공합니다.
certool --initcsr
CSR(인증서 서명 요청)을 생성합니다. 이 명령은 PKCS10 파일 및 개인 키를 생성합니다.
옵션 | 설명 |
---|---|
--gencsr | CSR 생성에 필요합니다. |
--privkey <key_file> | 개인 키 파일의 이름입니다. |
--pubkey <key_file> | 공용 키 파일의 이름입니다. |
--csrfile <csr_file> | CA 제공자에게 보낼 CSR 파일의 파일 이름입니다. |
--config <config_file> |
구성 파일의 이름입니다. 샘플 구성 파일은 /usr/lib/vmware-vmca/share/config/certool.cfg에 있습니다. 가장 좋은 방법은 기본 구성 파일의 복사본을 만들고 필요한 필드를 바꾸는 것입니다. |
certool --gencsr --privkey=<filename> --pubkey=<filename> --csrfile=<filename>
certool --selfca
자체 서명된 인증서를 생성하고 자체 서명된 루트 CA로 VMCA 서버를 프로비저닝합니다. 이 옵션 사용은 VMCA 서버를 프로비저닝하는 가장 간단한 방법 중 하나입니다. VMCA가 중간 CA가 되도록 대신 타사 루트 인증서를 사용하여 VMCA 서버를 프로비저닝할 수 있습니다. CLI를 사용하여 VMCA를 중간 CA(인증 기관)로 만들기의 내용을 참조하십시오.
이 명령은 표준 시간대 충돌을 방지하기 위해 3일 앞당겨 발급되는 인증서를 생성합니다.
옵션 | 설명 |
---|---|
--selfca | 자체 서명된 인증서 생성에 필요합니다. |
--predate <number_of_minutes> | 루트 인증서의 [유효한 시작 날짜] 필드를 현재 시간 기준으로 지정된 시간(분) 전으로 설정할 수 있습니다. 이 옵션은 잠재적인 표준 시간대 문제를 해결하는 데 유용할 수 있습니다. 최대값은 3일입니다. |
--config <config_file> |
구성 파일의 이름입니다. 샘플 구성 파일은 /usr/lib/vmware-vmca/share/config/certool.cfg에 있습니다. 가장 좋은 방법은 기본 구성 파일의 복사본을 만들고 필요한 필드를 바꾸는 것입니다. |
--server <server> |
VMCA 서버의 선택적 이름입니다. 기본적으로 이 명령은 localhost를 사용합니다. |
machine-70-59:/usr/lib/vmware-vmca/bin # ./certool --predate=2280 --selfca --server= 192.0.2.24 [email protected]
certool --rootca
루트 인증서를 가져옵니다. 지정된 인증서 및 개인 키를 VMCA에 추가합니다. VMCA는 항상 가장 최신 루트 인증서를 서명에 사용합니다. 그러나 다른 루트 인증서도 사용자가 수동으로 삭제하기 전에는 신뢰할 수 있는 상태로 남아 있습니다. 즉, 인프라를 한 번에 하나씩 업데이트하고 최종적으로 더 이상 사용하지 않는 인증서를 삭제할 수 있습니다.
옵션 | 설명 |
---|---|
--rootca | 루트 CA 가져오기에 필요합니다. |
--cert <certfile> |
인증서 파일의 이름입니다. |
--privkey <key_file> | 개인 키 파일의 이름입니다. 이 파일은 PEM 인코딩 형식이어야 합니다. |
--server <server> |
VMCA 서버의 선택적 이름입니다. 기본적으로 이 명령은 localhost를 사용합니다. |
certool --rootca --cert=root.cert --privkey=privatekey.pem
certool --getdc
vmdir에서 사용하는 기본 도메인 이름을 반환합니다.
옵션 | 설명 |
---|---|
--server <server> |
VMCA 서버의 선택적 이름입니다. 기본적으로 이 명령은 localhost를 사용합니다. |
--port <port_num> |
선택적 포트 번호입니다. 기본값은 포트 389로 설정됩니다. |
certool --getdc
certool --waitVMDIR
VMware Directory Service가 실행될 때까지 대기하거나 --wait에서 지정된 시간 제한이 경과할 때까지 대기합니다. 이 옵션을 다른 옵션과 함께 사용하여 기본 도메인 이름 반환과 같은 특정 작업을 스케줄링합니다.
옵션 | 설명 |
---|---|
--wait | 대기할 선택적 시간(분)입니다. 기본값은 3입니다. |
--server <server> |
VMCA 서버의 선택적 이름입니다. 기본적으로 이 명령은 localhost를 사용합니다. |
--port <port_num> |
선택적 포트 번호입니다. 기본값은 포트 389로 설정됩니다. |
certool --waitVMDIR --wait 5
certool --waitVMCA
VMCA 서비스가 실행될 때까지 대기하거나 지정된 시간 제한이 경과할 때까지 대기합니다. 이 옵션을 다른 옵션과 함께 사용하여 인증서 생성과 같은 특정 작업을 스케줄링합니다.
옵션 | 설명 |
---|---|
--wait | 대기할 선택적 시간(분)입니다. 기본값은 3입니다. |
--server <server> |
VMCA 서버의 선택적 이름입니다. 기본적으로 이 명령은 localhost를 사용합니다. |
--port <port_num> |
선택적 포트 번호입니다. 기본값은 포트 389로 설정됩니다. |
certool --waitVMCA --selfca
certool --publish-roots
루트 인증서를 강제로 업데이트합니다. 이 명령에는 관리 권한이 필요합니다.
옵션 | 설명 |
---|---|
--server <server> |
VMCA 서버의 선택적 이름입니다. 기본적으로 이 명령은 localhost를 사용합니다. |
certool --publish-roots