2.3. 使用 openssl 从 IdM CA 中为用户、主机或服务请求新证书
如果要确保主机或服务的 Kerberos 别名可以使用证书,您可以使用 openssl
工具为身份管理(IdM)主机或服务请求证书。在标准情况下,请考虑 使用 certutil 工具请求一个新证书。
按照以下流程,使用 openssl
为 IdM 主机或来自 ipa
、IdM 证书颁发机构的服务请求证书。
服务通常在其上存储了私钥的专用服务节点上运行。将服务的私钥复制到 IdM 服务器被视为不安全。因此,在为服务请求证书时,请在服务节点上创建证书签名请求(CSR)。
先决条件
- 您的 IdM 部署包含一个集成 CA。
- 您已经以 IdM 管理员的身份登录到 IdM 命令行界面(CLI)。
流程
- 为您的 Kerberos 主体 test/server.example.com 创建一个或多个别名。例如,test1/server.example.com 和 test2/server.example.com。
在 CSR 中,为 dnsName(server.example.com)和 otherName(test2/server.example.com)添加 subjectAltName。要做到这一点,请将
openssl.conf
文件配置为包含以下指定 UPN otherName 和 subjectAltName 的行:otherName=1.3.6.1.4.1.311.20.2.3;UTF8:test2/server.example.com@EXAMPLE.COM DNS.1 = server.example.com
使用
openssl
创建一个证书请求:openssl req -new -newkey rsa:2048 -keyout test2service.key -sha256 -nodes -out certificate_request.csr -config openssl.conf
将证书请求文件提交到 IdM 服务器上运行的 CA。指定要与新发布的证书关联的 Kerberos 主体:
# ipa cert-request certificate_request.csr --principal=host/server.example.com
IdM 中的
ipa cert-request
命令使用以下默认值:caIPAserviceCert
证书配置文件要选择一个自定义配置文件,请使用
--profile-id
选项。集成的 IdM root CA
ipa
要选择子 CA,请使用
--ca
选项。
其它资源
-
请参阅
ipa cert-request --help
命令的输出。 - 请参阅 在身份管理中创建和管理证书配置文件。