Red Hat Training

A Red Hat training course is available for RHEL 8

41.2. Creación de un modelo de certificado

Este procedimiento describe cómo crear un perfil de certificado a través de la línea de comandos mediante la creación de un archivo de configuración del perfil para solicitar certificados S/MIME.

Procedimiento

  1. Cree un perfil personalizado copiando un perfil predeterminado existente: 

    $ ipa certprofile-show --out smime.cfg caIPAserviceCert
------------------------------------------------
Profile configuration stored in file 'smime.cfg'
------------------------------------------------
  Profile ID: caIPAserviceCert
  Profile description: Standard profile for network services
  Store issued certificates: TRUE

  2. Abra el archivo de configuración del perfil recién creado en un editor de texto. 

    $ vi  smime.cfg

  3. Cambie el Profile ID por un nombre que refleje el uso del perfil, por ejemplo smime.

    Nota

    Cuando se importa un perfil recién creado, el campo profileId, si está presente, debe coincidir con el ID especificado en la línea de comandos.

  4. Actualice la configuración de Uso de Clave Extendida. La configuración por defecto de la extensión Extended Key Usage es para la autenticación del servidor y del cliente TLS. Por ejemplo, para S/MIME, el Uso de Clave Extendida debe configurarse para la protección del correo electrónico: 

    policyset.serverCertSet.7.default.params.exKeyUsageOIDs=1.3.6.1.5.5.7.3.4

  5. Importe el nuevo perfil: 

    $ ipa certprofile-import smime --file smime.cfg \
  --desc "S/MIME certificates" --store TRUE

------------------------
Imported profile "smime"
------------------------
  Profile ID: smime
  Profile description: S/MIME certificates
  Store issued certificates: TRUE

Pasos de verificación

  • Compruebe que se ha importado el nuevo modelo de certificado: 

    $ ipa certprofile-find

------------------
4 profiles matched
------------------
  Profile ID: caIPAserviceCert
  Profile description: Standard profile for network services
  Store issued certificates: TRUE

  Profile ID: IECUserRoles
  Profile description: User profile that includes IECUserRoles extension from request
  Store issued certificates: TRUE

  Profile ID: KDCs_PKINIT_Certs
  Profile description: Profile for PKINIT support by KDCs
  Store issued certificates: TRUE

  Profile ID: smime
  Profile description: S/MIME certificates
  Store issued certificates: TRUE
----------------------------
Number of entries returned 4
----------------------------

Recursos adicionales

  • Para más detalles sobre el complemento certprofile, ejecute el comando ipa help certprofile.
  • Para más información sobre la extensión del uso de la clave extendida, véase RFC 5280, sección 4.2.1.12.