5.5. 使用证书配置文件和 CA ACL 发布证书
当证书颁发机构访问控制列表(CA ACL)允许时,您可以使用证书配置文件来请求证书。按照以下流程,使用自定义证书配置文件为用户请求 S/MIME 证书,该配置文件已通过 CA ACL 授予了访问权限。
先决条件
- 您的证书配置集已创建。
- 已经创建了允许用户使用所需证书配置文件请求证书的 CA ACL。
注意
您可以绕过 CA ACL 检查用户是否执行 cert-request 命令:
-
是
admin用户。 -
具有
请求忽略 CA ACL 的证书权限。
流程
为用户生成证书请求。例如,使用 OpenSSL:
$ openssl req -new -newkey rsa:2048 -days 365 -nodes -keyout private.key -out cert.csr -subj '/CN=smime_user'
从 IdM CA 请求用户的新证书:
$ ipa cert-request cert.csr --principal=smime_user --profile-id=smime
(可选)将 --ca 子 CA_name 选项传递给 命令,以从子 CA 而非 root CA 请求证书。
验证步骤
验证新发布的证书是否已分配给用户:
$ ipa user-show user User login: user ... Certificate: MIICfzCCAWcCAQA... ...
其它资源
-
请参阅
ipa(a)man page。 -
请参阅
ipa help user-show命令。 -
请参阅
ipa help cert-request命令。 -
请参阅
openssl(lssl)man page。
