Red Hat Training

A Red Hat training course is available for RHEL 8

49.5. 使用证书配置集和 CA ACL 发布证书

当证书颁发机构访问控制列表(CA ACL)允许时,您可以使用证书配置文件来请求证书。此流程描述了如何使用自定义证书配置集为用户请求 S/MIME 证书,该配置集已通过 CA ACL 授予访问权限。

先决条件

  • 您的证书配置集已创建。
  • 已经创建了允许用户使用所需证书配置文件请求证书的 CA ACL。
注意

您可以绕过 CA ACL 检查用户是否执行 cert-request 命令:

  • admin 用户。
  • 具有 请求证书忽略 CA ACL 权限.

流程

  1. 为用户生成证书请求。例如,使用 OpenSSL:

    $ openssl req -new -newkey rsa:2048 -days 365 -nodes -keyout private.key -out cert.csr -subj '/CN=smime_user'
  2. 从 IdM CA 请求用户的新证书:

    $ ipa cert-request cert.csr --principal=smime_user --profile-id=smime

    (可选)将 --ca 子 CA_name 选项传递给 命令,以从子 CA 而非 root CA 请求证书。

验证步骤

  • 验证新发布的证书是否已分配给用户:

    $ ipa user-show user
      User login: user
      ...
      Certificate: MIICfzCCAWcCAQA...
      ...

其它资源

  • 请参阅 ipa(a) man page。
  • 有关 ipa user-show 命令的详情,请参考 ipa help user-show 命令。
  • 有关 ipa cert-request 命令的详情,请参考 ipa help cert-request 命令。
  • 请参阅 openssl(lssl) man page。