Red Hat Training

A Red Hat training course is available for RHEL 8

57.2. 使用 certutil 为用户、主机或服务从 IdM CA 请求新证书

您可以使用 certutil 工具为标准 IdM 情况下的身份管理(IdM)用户、主机或服务请求证书。要确保主机或服务 Kerberos 别名可以使用证书,请 使用 openssl 工具来请求证书

按照以下流程,使用 certutil 为来自 ipa 、IdM 证书颁发机构(CA)的 IdM 用户、主机或服务请求证书。

重要

通常运行在存储私钥的专用服务节点上的服务。将服务的私钥复制到 IdM 服务器被视为不安全。因此,在为服务请求证书时,请在服务节点上创建证书签名请求(CSR)。

先决条件

  • 您的 IdM 部署包含一个集成的 CA。
  • 以 IdM 管理员身份登录到 IdM 命令行界面(CLI)。

流程

  1. 为证书数据库创建一个临时目录:

    # mkdir ~/certdb/
  2. 创建一个新的临时证书数据库,例如:

    # certutil -N -d ~/certdb/
  3. 创建 CSR,并将输出重定向到文件。例如,要为 4096 位证书创建 CSR,并将主题设为 CN=server.example.com,O=EXAMPLE.COM

    # certutil -R -d ~/certdb/ -a -g 4096 -s "CN=server.example.com,O=EXAMPLE.COM" -8 server.example.com > certificate_request.csr
  4. 将证书请求文件提交到在 IdM 服务器上运行的 CA。指定 Kerberos 主体来与新发布的证书关联:

    # ipa cert-request certificate_request.csr --principal=host/server.example.com

    IdM 中的 ipa cert-request 命令使用以下默认值:

    • caIPAserviceCert 证书配置文件

      要选择自定义配置文件,请使用 --profile-id 选项。

    • 集成的 IdM 根 CA ipa

      要选择子 CA,请使用 --ca 选项。

其它资源