certool 初始化命令可讓您產生憑證簽署要求、檢視和產生由 VMware Certificate Authority (VMCA) 簽署的憑證和金鑰、匯入根憑證以及執行其他憑證管理作業。
在許多情況下,您將組態檔傳遞到 certool 命令。請參閱變更 certool 組態選項。如需使用量範例,請參閱使用 CLI 將現有 VMCA 簽署憑證取代為新的 VMCA 簽署憑證。命令列說明提供選項的詳細資料。
certool --initcsr
產生憑證簽署要求 (CSR)。該命令產生 PKCS10 檔案和私密金鑰。
| 選項 | 說明 |
|---|---|
| --gencsr | 產生 CSR 時需要。 |
| --privkey <key_file> | 私密金鑰檔案的名稱。 |
| --pubkey <key_file> | 公開金鑰檔案的名稱。 |
| --csrfile <csr_file> | 要傳送到 CA 提供者的 CSR 檔案的檔案名稱。 |
| --config <config_file> |
組態檔的名稱。範例組態檔位於 /usr/lib/vmware-vmca/share/config/certool.cfg。最佳做法是建立預設組態檔的複本並取代必填欄位。 |
certool --gencsr --privkey=<filename> --pubkey=<filename> --csrfile=<filename>
certool --selfca
建立自我簽署的憑證並使用自我簽署的根 CA 佈建 VMCA 伺服器。使用此選項為佈建 VMCA 伺服器最簡單的方式之一。您可以改為使用第三方根憑證佈建 VMCA 伺服器,以讓 VMCA 成為中繼 CA。請參閱使用 CLI 將 VMCA 設為中繼憑證授權機構。
此命令會提早 3 天產生憑證,以避免時區衝突。
| 選項 | 說明 |
|---|---|
| --selfca | 產生自我簽署的憑證時需要。 |
| --predate <number_of_minutes> | 可讓您將根憑證的 [有效起始時間] 欄位設定為目前時間之前的指定分鐘數。此選項可協助對潛在時區問題進行說明。上限為 3 天。 |
| --config <config_file> |
組態檔的名稱。範例組態檔位於 /usr/lib/vmware-vmca/share/config/certool.cfg。最佳做法是建立預設組態檔的複本並取代必填欄位。 |
| --server <server> |
VMCA 伺服器的選用名稱。依預設,命令使用 localhost。 |
machine-70-59:/usr/lib/vmware-vmca/bin # ./certool --predate=2280 --selfca --server= 192.0.2.24 [email protected]
certool --rootca
匯入根憑證。將指定憑證和私密金鑰新增到 VMCA。VMCA 一律使用最新根憑證進行簽署,但是其他根憑證在您將其手動刪除之前仍受信任。這意味著,您可以一次執行一個步驟來更新基礎結構,最後才刪除不再使用的憑證。
| 選項 | 說明 |
|---|---|
| --rootca | 匯入根 CA 時需要。 |
| --cert <certfile> |
憑證檔案的名稱。 |
| --privkey <key_file> | 私密金鑰檔案的名稱。此檔案必須為 PEM 編碼格式。 |
| --server <server> |
VMCA 伺服器的選用名稱。依預設,命令使用 localhost。 |
certool --rootca --cert=root.cert --privkey=privatekey.pem
certool --getdc
傳回由 vmdir 使用的預設網域名稱。
| 選項 | 說明 |
|---|---|
| --server <server> |
VMCA 伺服器的選用名稱。依預設,命令使用 localhost。 |
| --port <port_num> |
選用的連接埠號碼。預設值為連接埠 389。 |
certool --getdc
certool --waitVMDIR
請等待,直到 VMware Directory Service 正在執行或--wait指定的逾時結束為止。搭配使用此選項和其他選項可排程某些工作,例如傳回預設網域名稱。
| 選項 | 說明 |
|---|---|
| --wait | 要等待的選用分鐘數。預設值為 3。 |
| --server <server> |
VMCA 伺服器的選用名稱。依預設,命令使用 localhost。 |
| --port <port_num> |
選用的連接埠號碼。預設值為連接埠 389。 |
certool --waitVMDIR --wait 5
certool --waitVMCA
請等待,直到 VMCA 服務正在執行或指定的逾時結束為止。搭配使用此選項和其他選項可排程某些工作,例如產生憑證。
| 選項 | 說明 |
|---|---|
| --wait | 要等待的選用分鐘數。預設值為 3。 |
| --server <server> |
VMCA 伺服器的選用名稱。依預設,命令使用 localhost。 |
| --port <port_num> |
選用的連接埠號碼。預設值為連接埠 389。 |
certool --waitVMCA --selfca
certool --publish-roots
強制更新根憑證。此命令需要管理權限。
| 選項 | 說明 |
|---|---|
| --server <server> |
VMCA 伺服器的選用名稱。依預設,命令使用 localhost。 |
certool --publish-roots
