certool 管理命令可讓您檢視、產生與撤銷憑證,以及檢視有關憑證的資訊。

certool --genkey

產生私密和公開金鑰配對。然後,可使用這些檔案產生 VMCA 簽署的憑證。

選項 說明
--genkey 產生私密和公開金鑰時所需的選項。
--privkey <keyfile> 私密金鑰檔案的名稱。
--pubkey <keyfile> 公開金鑰檔案的名稱。

--server <server>

VMCA 伺服器的選用名稱。依預設,命令使用 localhost。

範例:
certool --genkey --privkey=<filename> --pubkey=<filename>

certool --gencert

從 VMCA 伺服器產生憑證。此命令會使用 certool.cfg 或指定組態檔中的資訊。您可以使用憑證來佈建機器憑證或解決方案使用者憑證。

選項 說明
--gencert 產生憑證時所需的選項。

--cert <certfile>

憑證檔案的名稱。此檔案必須為 PEM 編碼格式。

--privkey <keyfile> 私密金鑰檔案的名稱。此檔案必須為 PEM 編碼格式。

--config <config_file>

組態檔的名稱。範例組態檔位於 /usr/lib/vmware-vmca/share/config/certool.cfg。最佳做法是建立預設組態檔的複本並取代必填欄位。

--server <server>

VMCA 伺服器的選用名稱。依預設,命令使用 localhost。

範例:
certool --gencert --privkey=<filename> --cert=<filename> --config=<config_file>

certool --getrootca

以人類可讀的形式列印目前的根 CA 憑證。此輸出不可做為憑證使用,而會變更為人類可讀的內容。

選項 說明
--getrootca 列印根憑證時所需的選項。

--server <server>

VMCA 伺服器的選用名稱。依預設,命令使用 localhost。

範例:
certool --getrootca --server=remoteserver

certool --viewcert

以人類可讀的形式列印憑證中的所有欄位。

選項 說明
--viewcert 檢視憑證時所需的選項。

--cert <certfile>

組態檔的名稱。範例組態檔位於 /usr/lib/vmware-vmca/share/config/certool.cfg。最佳做法是建立預設組態檔的複本並取代必填欄位。

範例:
 certool --viewcert --cert=<filename>

certool --enumcert

列出 VMCA 伺服器知曉的所有憑證。必要的filter選項可讓您列出所有憑證或僅列出撤銷的、作用中或到期的憑證。

選項 說明
--enumcert 列出所有憑證時所需的選項。
--filter [all | active] 必要篩選器。指定所有或作用中的選項。目前不支援已撤銷和到期的選項。
範例:
certool --enumcert --filter=active

certool --status

將指定憑證傳送給 VMCA 伺服器,以檢查哪些憑證已撤銷。如果憑證已撤銷,則列印「憑證: 已撤銷」,否則,列印「憑證: 使用中」

選項 說明
--status 檢查憑證狀態時所需的選項。

--cert <certfile>

組態檔的名稱。範例組態檔位於 /usr/lib/vmware-vmca/share/config/certool.cfg。最佳做法是建立預設組態檔的複本並取代必填欄位。

--server <server>

VMCA 伺服器的選用名稱。依預設,命令使用 localhost。

範例:
certool --status --cert=<filename>

certool --genselfcacert

根據組態檔中的值,產生自我簽署的憑證。此命令會提早 3 天產生憑證,以避免時區衝突。
選項 說明
--genselfcacert 產生自我簽署的憑證時需要。
--outcert <cert_file> 憑證檔案的名稱。此檔案必須為 PEM 編碼格式。
--outprivkey <key_file> 私密金鑰檔案的名稱。此檔案必須為 PEM 編碼格式。

--config <config_file>

組態檔的名稱。範例組態檔位於 /usr/lib/vmware-vmca/share/config/certool.cfg。最佳做法是建立預設組態檔的複本並取代必填欄位。

範例:
certool --genselfcert --privkey=<filename> --cert=<filename> --config=<config_file>