4.3. 从匹配规则中使用的证书获取签发者

此流程描述了如何从证书获取签发者信息,以便将其复制并粘贴到证书映射规则的匹配规则中。要获得匹配的规则所需的签发者格式,请使用 openssl x509 实用程序。

先决条件

  • 您有 .pem.crt 格式的用户证书

步骤

  1. 从证书获取用户信息。使用 openssl x509 证书显示和签名工具:

    • 用于阻止编码版本的请求输出的 -noout 选项
    • 输出签发者名称的 -issuer 选项
    • 用来读取证书的输入文件名的 -in 选项

    • 带有 RFC2253 值的 -nameopt 选项会首先显示使用最具体的相对可分辨名称(RDN)。

      如果输入文件包含 Identity Management 证书,命令的输出将使用 Organisation 信息定义 Issuer: 

      # openssl x509 -noout -issuer -in idm_user.crt -nameopt RFC2253
issuer=CN=Certificate Authority,O=REALM.EXAMPLE.COM

      如果输入文件包含 Active Directory 证书,命令的输出将使用 Domain 组件信息来定义 Issuer: 

      # openssl x509 -noout -issuer -in ad_user.crt -nameopt RFC2253
issuer=CN=AD-WIN2012R2-CA,DC=AD,DC=EXAMPLE,DC=COM

  2. 另外,要根据匹配规则在 CLI 中创建一个新的映射规则,该规则指定证书签发者必须是 ad.example.com 域的 AD-WIN2012R2-CA,证书上的主题必须与 IdM 中用户帐户中的 certmapdata 条目匹配: 

    # ipa certmaprule-add simple_rule --matchrule '<ISSUER>CN=AD-WIN2012R2-CA,DC=AD,DC=EXAMPLE,DC=COM' --maprule '(ipacertmapdata=X509:<I>{issuer_dn!nss_x500}<S>{subject_dn!nss_x500})'