certool 初始化命令可讓您產生憑證簽署要求、檢視和產生由 VMCA 簽署的憑證和金鑰、匯入根憑證以及執行其他憑證管理作業。

在許多情況下,您將組態檔傳遞到 certool 命令。請參閱變更 certool 組態選項。如需使用量範例,請參閱用新的 VMCA 簽署憑證取代現有的 VMCA 簽署憑證。命令列說明提供選項的詳細資料。

certool --initcsr

產生憑證簽署要求 (CSR)。該命令產生 PKCS10 檔案和私密金鑰。

選項

說明

--initcsr

產生 CSR 時需要。

--privkey <key_file>

私密金鑰檔案的名稱。

--pubkey <key_file>

公開金鑰檔案的名稱。

--csrfile <csr_file>

要傳送到 CA 提供者的 CSR 檔案的檔案名稱。

--config <config_file>

組態檔的選用名稱。預設值為 certool.cfg

範例:

certool --initcsr --privkey=<filename> --pubkey=<filename> --csrfile=<filename>

certool --selfca

建立自我簽署的憑證並使用自我簽署的根 CA 佈建 VMCA 伺服器。使用此選項為佈建 VMCA 伺服器最簡單的方式之一。您可以改為使用第三方根憑證佈建 VMCA 伺服器,以讓 VMCA 成為中繼 CA。請參閱使用 VMCA 做為中繼憑證授權機構

此命令會提早 3 天產生憑證,以避免時區衝突。

選項

說明

--selfca

產生自我簽署的憑證時需要。

--predate <number_of_minutes>

可讓您將根憑證的 [有效起始時間] 欄位設定為目前時間之前的指定分鐘數。此選項可協助對潛在時區問題進行說明。上限為 3 天。

--config <config_file>

組態檔的選用名稱。預設值為 certool.cfg

--server <server>

VMCA 伺服器的選用名稱。依預設,命令使用 localhost。

範例:

machine-70-59:/usr/lib/vmware-vmca/bin # ./certool --predate=2280  --selfca --server= 192.0.2.24 --srp-upn=administrator@vsphere.local

certool --rootca

匯入根憑證。將指定憑證和私密金鑰新增到 VMCA。VMCA 一律使用最新根憑證進行簽署,但是其他根憑證在您將其手動刪除之前仍受信任。這意味著,您可以一次執行一個步驟來更新基礎結構,最後才刪除不再使用的憑證。

選項

說明

--rootca

匯入根 CA 時需要。

--cert <certfile>

組態檔的選用名稱。預設值為 certool.cfg

--privkey <key_file>

私密金鑰檔案的名稱。此檔案必須為 PEM 編碼格式。

--server <server>

VMCA 伺服器的選用名稱。依預設,命令使用 localhost。

範例:

certool --rootca --cert=root.cert --privkey=privatekey.pem

certool --getdc

傳回由 vmdir 使用的預設網域名稱。

選項

說明

--server <server>

VMCA 伺服器的選用名稱。依預設,命令使用 localhost。

--port <port_num>

選用的連接埠號碼。預設值為連接埠 389。

範例:

certool --getdc

certool --waitVMDIR

請等待,直到 VMware Directory Service 正在執行或 --wait 指定的逾時結束為止。搭配使用此選項和其他選項可排程某些工作,例如傳回預設網域名稱。

選項

說明

--wait

要等待的選用分鐘數。預設值為 3。

--server <server>

VMCA 伺服器的選用名稱。依預設,命令使用 localhost。

--port <port_num>

選用的連接埠號碼。預設值為連接埠 389。

範例:

certool --waitVMDIR --wait 5

certool --waitVMCA

請等待,直到 VMCA 服務正在執行或指定的逾時結束為止。搭配使用此選項和其他選項可排程某些工作,例如產生憑證。

選項

說明

--wait

要等待的選用分鐘數。預設值為 3。

--server <server>

VMCA 伺服器的選用名稱。依預設,命令使用 localhost。

--port <port_num>

選用的連接埠號碼。預設值為連接埠 389。

範例:

certool --waitVMCA --selfca

certool --publish-roots

強制更新根憑證。此命令需要管理權限。

選項

說明

--server <server>

VMCA 伺服器的選用名稱。依預設,命令使用 localhost。

範例:

certool --publish-roots