5.4. 请求和接收证书

第 5.1 节 “关于注册和续订证书” 中所述,生成 CSR 后,需要将其提交到 CA 以提高状态。第 5.2 节 “创建证书签名请求” 中讨论的一些方法直接向 CA 提交 CSR,而有些方法需要在单独的步骤中提交 CSR,这可能由用户执行,或者由代理预签名。
在本节中,我们将讨论 RHCS CA 支持的单独提交步骤。

5.4.1. 通过"最终用户"页面请求并接收证书

在 CA End Entity 门户中(例如 https://host.domain:port#/ca/ee/ca),最终用户可以使用在 Enrollment/Renewal 选项卡下的 Enrollment/Renewal 选项卡下提交其证书请求(CSR,请参阅 第 5.2 节 “创建证书签名请求” 来生成 CSR)。
本节假设您具有 Base64 编码格式的 CSR,包括标记行 -----BEGIN NEW CERTIFICATE REQUEST----- 和 -----END NEW CERTIFICATE REQUEST-----。
许多默认注册配置文件都提供一个 证书请求 文本框,该框可以在 Base64 编码 CSR 中粘贴,以及证书请求类型选择下拉列表。
在证书注册表单中,输入所需信息。
标准要求如下:
  • 证书请求类型.这是 PKCS#10 或 CRMF。通过子系统管理控制台创建的证书请求是 PKCS #10;通过 certutil 工具和其他实用程序创建的证书请求通常是 PKCS #10。
  • 证书请求.粘贴 base-64 编码的 blob,包括 -----BEGIN NEW CERTIFICATE REQUEST----------END NEW CERTIFICATE REQUEST----- 标记行。
  • 申请人名.这是请求证书的人的通用名称。
  • 申请人电子邮件.这是请求者的电子邮件地址。在签发证书时,代理或 CA 系统将使用此地址联系请求者。例如 :jdoe@someCompany.com
  • 请求者电话.这是请求者的联系电话号码。
提交的请求排队代理批准。代理需要处理并批准证书请求。
注意
某些注册配置文件可能允许使用由 Red Hat Certificate Systemnbsp 提供的 LDAP uid/pwd 验证方法自动执行(例如,Red Hat Certificate Red Hat Certificate Systemnbsp;System.在下一节中,通过这些配置集进行注册不需要手动批准。有关支持的批准方法,请参阅 第 9 章 注册证书的身份验证
如果是手动批准,一旦证书被批准并生成,您可以检索该证书。
  1. 打开证书管理器端点页面,例如:
    https://server.example.com:8443/ca/ee/ca
  2. Retrieval 选项卡。
  3. 填写提交证书请求时创建的请求 ID 号,然后单击 Submit
  4. 下一页显示证书请求的状态。如果状态 已经完成,则证书有一个链接。点 签发的证书 链接。
  5. 新证书信息以用户用户打印格式显示,采用 base-64 编码格式,采用 PKCS #7 格式。
    可以通过此页面执行以下操作:
    • 要在服务器或其他应用程序上安装此证书,请滚动到"服务器"部分中安装此证书,其中包含 base-64 编码证书。
  6. 将 base-64 编码的证书(包括 -----BEGIN CERTIFICATE----------END CERTIFICATE----- 标记行)复制到文本文件。保存文本文件,并使用它来将证书的副本存储在私钥所驻留的实体的安全模块中。请参阅 第 14.3.2.1 节 “创建用户”