Red Hat Training

A Red Hat training course is available for RHEL 8

47.3. 使用 openssl 从 IdM CA 为用户、主机或服务请求新证书

如果要确保主机或服务的 Kerberos 别名可以使用证书,您可以使用 openssl 实用程序为身份管理(IdM)主机或服务请求证书。在标准情况下,请考虑使用 certutil 实用程序来请求一个新证书

本节论述了如何使用 openssl 为 IdM 主机或来自 ipa (IdM 证书颁发机构)的服务请求证书。

重要

服务通常在存储私钥的专用服务节点上运行。将服务的私钥复制到 IdM 服务器被视为不安全。因此,在为服务请求证书时,请在服务节点上创建证书签名请求(CSR)。

先决条件

  • 您的 IdM 部署包含一个集成的 CA。
  • 以 IdM 管理员身份登录到 IdM 命令行界面(CLI)。

流程

  1. 为您的 Kerberos 主体 test/server.example.com 创建一个或多个别名。例如,test1/server.example.comtest2/server.example.com
  2. 在 CSR 中,为 dnsName(server.example.com)和其他Name(test2/server.example.com)添加 subjectAltName。要做到这一点,将 openssl.conf 文件配置为包含以下行,指定 UPN otherName 和 subjectAltName:

    otherName=1.3.6.1.4.1.311.20.2.3;UTF8:test2/server.example.com@EXAMPLE.COM
    DNS.1 = server.example.com
  3. 使用 openssl 创建证书请求:

    openssl req -new -newkey rsa:2048 -keyout test2service.key -sha256 -nodes -out certificate_request.csr -config openssl.conf
  4. 将证书请求文件提交到 IdM 服务器上运行的 CA。指定要与新发布的证书关联的 Kerberos 主体:

    # ipa cert-request certificate_request.csr --principal=host/server.example.com

    IdM 中的 ipa cert-request 命令使用以下默认值:

    • caIPAserviceCert 证书配置集

      要选择自定义配置集,请使用 --profile-id 选项。

    • 集成的 IdM root CA ipa

      要选择子 CA,请使用 --ca 选项。

其它资源