Red Hat Summit40.2. Conversión de un certificado externo para cargarlo en una cuenta de usuario de IdM
Esta sección describe cómo asegurarse de que un certificado externo está correctamente codificado y formateado antes de añadirlo a una entrada de usuario.
Requisitos previos
-
Si su certificado fue emitido por una autoridad de certificados de Active Directory y utiliza la codificación
PEM, asegúrese de que el archivoPEMse haya convertido al formatoUNIX. Para convertir un archivo, utilice la utilidaddos2unixproporcionada por el paquete epónimo.
40.2.1. Convertir un certificado externo en la CLI de IdM y cargarlo en una cuenta de usuario de IdM
IdM CLI sólo acepta un certificado de PEM del que se han eliminado la primera y la última línea (-----BEGIN CERTIFICATE----- y -----END CERTIFICATE-----).
Procedimiento
Convierte el certificado al formato
PEM:Si su certificado está en el formato
DER:$ openssl x509 -in cert.crt -inform der -outform pem -out cert.pemSi su archivo está en el formato
PKCS #12, cuyas extensiones de nombre de archivo comunes son.pfxy.p12, y contiene un certificado, una clave privada y posiblemente otros datos, extraiga el certificado utilizando la utilidadopenssl pkcs12. Cuando se le solicite, introduzca la contraseña que protege la clave privada almacenada en el archivo:$ openssl pkcs12 -in cert_and_key.p12 -clcerts -nokeys -out cert.pem Enter Import Password:
Obtenga las credenciales del administrador:
$ kinit adminAñada el certificado a la cuenta de usuario utilizando el
IdM CLIsiguiendo uno de los siguientes métodos:Elimine la primera y la última línea (-----BEGIN CERTIFICATE----- y -----END CERTIFICATE-----) del archivo
PEMutilizando la utilidadsedantes de añadir la cadena al comandoipa user-add-cert:$ ipa user-add-cert some_user --certificate="$(sed -e '/BEGIN CERTIFICATE/d;/END CERTIFICATE/d' cert.pem)"Copie y pegue el contenido del archivo del certificado sin las líneas primera y última (-----BEGIN CERTIFICATE----- y -----END CERTIFICATE-----) en el comando
ipa user-add-cert:$ ipa user-add-cert some_user --certificate=MIIDlzCCAn gAwIBAgIBATANBgkqhki...NotaNo puede pasar un archivo
PEMque contenga el certificado como entrada al comandoipa user-add-certdirectamente, sin eliminar primero la primera y la última línea (-----BEGIN CERTIFICATE----- y -----END CERTIFICATE-----):$ ipa user-add-cert some_user --cert=some_user_cert.pemEste comando da como resultado el mensaje de error "ipa: ERROR: Base64 decoding failed: Padding\Nincorrecto" mensaje de error.
Opcionalmente, para comprobar si el certificado fue aceptado por el sistema:
[idm_user@r8server]$ ipa user-show some_user
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}