Menu Close

2.2. 使用 certutil 为用户、主机或服务从 IdM CA 请求新证书

您可以使用 certutil 工具为标准 IdM 情况下的身份管理(IdM)用户、主机或服务请求证书。要确保主机或服务 Kerberos 别名可以使用证书,请 使用 openssl 工具来请求证书

本节描述了如何使用 certutil 为来自 ipa (IdM 证书颁发机构(CA))的 IdM 用户、主机或服务请求证书。

重要

通常运行在存储私钥的专用服务节点上的服务。将服务的私钥复制到 IdM 服务器被视为不安全。因此,在为服务请求证书时,请在服务节点上创建证书签名请求(CSR)。

先决条件

  • 您的 IdM 部署包含一个集成的 CA。
  • 以 IdM 管理员身份登录到 IdM 命令行界面(CLI)。

步骤

  1. 为证书数据库创建一个临时目录:

    # mkdir ~/certdb/
  2. 创建一个新的临时证书数据库,例如:

    # certutil -N -d ~/certdb/
  3. 创建 CSR,并将输出重定向到文件。例如,要为 4096 位证书创建 CSR,并将主题设为 CN=server.example.com,O=EXAMPLE.COM

    # certutil -R -d ~/certdb/ -a -g 4096 -s "CN=server.example.com,O=EXAMPLE.COM" -8 server.example.com > certificate_request.csr
  4. 将证书请求文件提交到在 IdM 服务器上运行的 CA。指定 Kerberos 主体来与新发布的证书关联:

    # ipa cert-request certificate_request.csr --principal=host/server.example.com

    IdM 中的 ipa cert-request 命令使用以下默认值:

    • caIPAserviceCert 证书配置文件

      要选择自定义配置文件,请使用 --profile-id 选项。

    • 集成的 IdM 根 CA ipa

      要选择子 CA,请使用 --ca 选项。

其他资源