4.3. マッチングルールで使用する証明書から発行者の取得
この手順では、証明書から発行者情報を取得して、証明書マッピングルールのマッチングルールにコピーする方法を説明します。マッチングルールで必要な発行者の形式を取得するには、openssl x509 ユーティリティーを使用します。
前提条件
-
.pem形式または.crt形式のユーザー証明書がある。
手順
証明書からユーザー情報を取得します。以下のように、
openssl x509証明書の表示および署名ユーティリティーを使用します。-
リクエストのエンコードされたバージョンの出力を防ぐ
-nooutオプション -
発行者名を出力する
-issuerオプション -
証明書を読み込む入力ファイル名を指定する
-inオプション RFC2253値と共に-nameoptオプションを指定して、最初に最も具体的な相対識別名 (RDN) で出力を表示します。入力ファイルに Identity Management 証明書が含まれる場合は、コマンドの出力で、
組織情報を使用して発行者が定義されていることを示しています。# openssl x509 -noout -issuer -in idm_user.crt -nameopt RFC2253 issuer=CN=Certificate Authority,O=REALM.EXAMPLE.COM入力ファイルに Active Directory 証明書が含まれる場合は、コマンドの出力で、
ドメインコンポーネントの情報を使用して発行者が定義されていることを示しています。# openssl x509 -noout -issuer -in ad_user.crt -nameopt RFC2253 issuer=CN=AD-WIN2012R2-CA,DC=AD,DC=EXAMPLE,DC=COM
-
リクエストのエンコードされたバージョンの出力を防ぐ
必要に応じて、証明書発行者が、
ad.example.comドメインから展開したAD-WIN2012R2-CAであることを指定するマッチングルールに基づいて、CLI で新しいマッピングルールを作成する場合は、証明書の発行先が、IdM のユーザーアカウントにあるcertmapdataエントリーと一致する必要があります。# ipa certmaprule-add simple_rule --matchrule '<ISSUER>CN=AD-WIN2012R2-CA,DC=AD,DC=EXAMPLE,DC=COM' --maprule '(ipacertmapdata=X509:<I>{issuer_dn!nss_x500}<S>{subject_dn!nss_x500})'