Red Hat Training
A Red Hat training course is available for RHEL 8
39.2. Solicitud de nuevos certificados para un usuario, host o servicio a la CA IdM mediante certutil
Puede utilizar la utilidad certutil
para solicitar un certificado para un usuario, host o servicio de gestión de identidades (IdM) en situaciones estándar de IdM. Para garantizar que un alias de Kerberos de host o servicio pueda utilizar un certificado, utilice la utilidad openssl para solicitar un certificado.
Esta sección describe cómo solicitar un certificado para un usuario, host o servicio de IdM a ipa
, la autoridad de certificación (CA) de IdM, utilizando certutil
.
Los servicios suelen ejecutarse en nodos de servicio dedicados en los que se almacenan las claves privadas. Copiar la clave privada de un servicio en el servidor de IdM se considera inseguro. Por lo tanto, al solicitar un certificado para un servicio, cree la solicitud de firma de certificado (CSR) en el nodo de servicio.
Requisitos previos
- Su implementación de IdM contiene una CA integrada.
- Has iniciado sesión en la interfaz de línea de comandos (CLI) de IdM como administrador de IdM.
Procedimiento
Cree un directorio temporal para la base de datos de certificados:
# mkdir ~/certdb/
Cree una nueva base de datos temporal de certificados, por ejemplo:
# certutil -N -d ~/certdb/
Cree la CSR y redirija la salida a un archivo. Por ejemplo, para crear una CSR para un certificado de 4096 bits y establecer el asunto como CN=server.example.com,O=EXAMPLE.COM:
# certutil -R -d ~/certdb/ -a -g 4096 -s "CN=server.example.com,O=EXAMPLE.COM" -8 server.example.com > certificate_request.csr
Envíe el archivo de solicitud de certificado a la CA que se ejecuta en el servidor IdM. Especifique la entidad de seguridad de Kerberos que se asociará con el certificado recién emitido:
# ipa cert-request certificate_request.csr --principal=host/server.example.com
El comando
ipa cert-request
en IdM utiliza los siguientes valores por defecto:El perfil del certificado
caIPAserviceCert
Para seleccionar un perfil personalizado, utilice la opción
--profile-id
.La CA raíz de IdM integrada,
ipa
Para seleccionar una sub-CA, utilice la opción
--ca
.
Recursos adicionales
-
Para más información sobre el comando
ipa cert-request
, consulte la salida del comandoipa cert-request --help
. - Para obtener más información sobre la creación de un perfil de certificado personalizado, consulte Creación y gestión de perfiles de certificado en Gestión de identidades.