Red Hat Training

A Red Hat training course is available for RHEL 8

41.5. Usando perfis de certificados e ACLs CA para emitir certificados

Você pode solicitar certificados usando um perfil de certificado quando permitido pelas listas de controle de acesso da Autoridade de Certificados (CA ACLs). Este procedimento descreve como solicitar um certificado S/MIME para um usuário usando um modelo de certificado personalizado que foi concedido acesso através de uma CA ACL.

Pré-requisitos

  • Seu perfil de certificado foi criado.
  • Foi criado um CA ACL que permite ao usuário utilizar o perfil de certificado exigido para solicitar um certificado.
Nota

Você pode contornar a verificação ACL CA se o usuário executa o comando cert-request:

  • É o usuário admin.
  • Tem a permissão Request Certificate ignoring CA ACLs.

Procedimento

  1. Gerar um pedido de certificado para o usuário. Por exemplo, utilizando o OpenSSL: 

    $ openssl req -new -newkey rsa:2048 -days 365 -nodes -keyout private.key -out cert.csr -subj '/CN=smime_user'

  2. Solicite um novo certificado para o usuário da IdM CA: 

    $ ipa cert-request cert.csr --principal=smime_user --profile-id=smime

    Opcionalmente, passe a opção --ca sub-CA_name para o comando para solicitar o certificado de um sub-CA em vez da CA raiz.

Etapas de verificação

  • Verificar se o certificado recém-emitido está atribuído ao usuário: 

    $ ipa user-show user
  User login: user
  ...
  Certificate: MIICfzCCAWcCAQA...
  ...

Recursos adicionais

  • Consulte a página ipa(a) man page.
  • Para mais detalhes sobre o comando ipa user-show, consulte o comando ipa help user-show.
  • Para mais detalhes sobre o comando ipa cert-request, consulte o comando ipa help cert-request.
  • Consulte a página openssl(lssl) man page.