執行 certool --gencert 及某些其他憑證初始化或管理命令時,CLI 會從組態檔讀取所有值。您可以編輯現有檔案、使用 -–config=<file name> 選項覆寫預設組態檔 (certool.cfg),或覆寫命令列上的不同值。

組態檔中有數個欄位,預設值如下:

Country = US
Name= Acme
Organization = AcmeOrg
OrgUnit = AcmeOrg Engineering
State = California 
Locality = Palo Alto
IPAddress = 127.0.0.1	
Email = email@acme.com
Hostname = server.acme.com

您可以變更組態中的值,方式如下:

  • 為組態檔建立備份,然後編輯檔案。如果您使用的是預設組態檔,則不需要加以指定。否則,舉例來說,如果您變更了組態檔名稱,請使用 --config 命令列選項。

  • 使用命令列覆寫組態檔值。例如,如果要覆寫位置,請執行此命令:

    certool -–gencert -–privkey=private.key –-Locality="Mountain View" 

指定 --Name 以取代憑證主體名稱的 CN 欄位。

  • 對於解決方案使用者憑證,慣例上名稱會是 <sol_user name>@<domain>,但如果您環境中採用的慣例有所不同,可以變更名稱。

  • 對於機器 SSL 憑證,會使用機器的 FQDN,因為 SSL 用戶端會在確認機器的主機名稱時,檢查憑證主體名稱的 CN 欄位。由於機器可以使用多個別名,憑證擴充了 [主體別名] 欄位,您可以在此指定其他名稱 (DNS 名稱、IP 位址等)。然而,VMCA 僅允許使用一個 DNSName (在 Hostname 欄位中) 且不得使用其他別名。如果 IP 位址是由使用者指定,也會儲存在 SubAltName 中。

--Hostname 參數用於指定憑證 SubAltName 的 DNSName。