Menu Close

5.5. 使用证书配置文件和 CA ACL 来发布证书

当证书颁发机构访问控制列表(CA ACL)允许时,您可以使用证书配置文件来请求证书。此流程描述了如何使用自定义证书配置文件为用户请求 S/MIME 证书,该配置文件已通过 CA ACL 被授予了访问权限。

先决条件

  • 您的证书配置文件已创建。
  • 允许用户使用所需证书配置文件请求证书的 CA ACL已创建。
注意

您可以绕过 CA ACL 检查用户是否执行了 cert-request 命令:

  • admin 用户。
  • 具有 请求证书忽略 CA ACL 权限.

步骤

  1. 为用户生成证书请求。例如,使用 OpenSSL:

    $ openssl req -new -newkey rsa:2048 -days 365 -nodes -keyout private.key -out cert.csr -subj '/CN=smime_user'
  2. 为用户从 IdM CA 请求新证书:

    $ ipa cert-request cert.csr --principal=smime_user --profile-id=smime

    (可选)将 --ca sub-CA_name 选项传给命令,以从子 CA ,而不是根 CA 请求证书。

验证步骤

  • 验证新发布的证书是否已分配给用户:

    $ ipa user-show user
      User login: user
      ...
      Certificate: MIICfzCCAWcCAQA...
      ...

其他资源

  • 请参阅 ipa(a) 手册页。
  • 请参阅 ipa help user-show 命令。
  • 请参阅 ipa help cert-request 命令。
  • 请参阅 openssl(lssl) 手册页。