Red Hat SummitCapítulo 39. Gestión de certificados para usuarios, hosts y servicios mediante la CA de IdM integrada
Este capítulo describe cómo gestionar los certificados en la Gestión de Identidades (IdM) utilizando la CA integrada, la CA ipa y sus sub-CAs.
Este capítulo contiene las siguientes secciones:
- Solicitud de nuevos certificados para un usuario, host o servicio mediante la interfaz web de IdM.
Solicitar nuevos certificados para un usuario, host o servicio a la CA de IdM mediante la CLI de IdM:
Solicitud de nuevos certificados para un usuario, host o servicio a la CA IdM mediante certutil
-
Para ver un ejemplo concreto de cómo solicitar un nuevo certificado de usuario a la CA de IdM mediante la utilidad
certutily exportarlo a un cliente de IdM, consulte Solicitar un nuevo certificado de usuario y exportarlo al cliente.
-
Para ver un ejemplo concreto de cómo solicitar un nuevo certificado de usuario a la CA de IdM mediante la utilidad
- Solicitud de nuevos certificados para un usuario, host o servicio a la CA IdM mediante openssl
También puede solicitar nuevos certificados para un servicio a la CA de IdM mediante la utilidad certmonger. Para obtener más información, consulte Solicitud de nuevos certificados para un servicio a la CA IdM mediante certmonger.
Requisitos previos
Su implementación de IdM contiene una CA integrada:
- Para obtener información sobre cómo planificar sus servicios de CA en IdM, consulte Planificación de sus servicios de CA.
- Para obtener información sobre cómo instalar un servidor IdM con DNS integrado y CA integrada como CA raíz, consulte Instalación de un servidor IdM: Con DNS integrado, con una CA integrada como CA raíz
- Para obtener información sobre cómo instalar un servidor IdM con DNS integrado y una CA externa como CA raíz, consulte Instalación de un servidor IdM: Con DNS integrado, con una CA externa como CA raíz
- Para obtener información sobre cómo instalar un servidor IdM sin DNS integrado y con una CA integrada como CA raíz, consulte Instalación de un servidor IdM: Sin DNS integrado, con una CA integrada como CA raíz.
Opcional] Su implementación de IdM admite que los usuarios se autentiquen con un certificado:
- Para obtener información sobre cómo configurar la implementación de IdM para que admita la autenticación de usuarios con un certificado almacenado en el sistema de archivos del cliente IdM, consulte Configuración de la autenticación con un certificado almacenado en el escritorio de un cliente IdM.
- Para obtener información sobre cómo configurar la implantación de IdM para que admita la autenticación de usuarios con un certificado almacenado en una tarjeta inteligente insertada en un cliente de IdM, consulte
- Para obtener información sobre cómo configurar la implantación de IdM para que admita la autenticación de usuarios con tarjetas inteligentes emitidas por un sistema de certificados de Active Directory, consulte
39.1. Solicitud de nuevos certificados para un usuario, host o servicio mediante la interfaz web de IdM
Esta sección describe cómo utilizar la interfaz web de gestión de identidades (IdM) para solicitar un nuevo certificado para cualquier entidad IdM a las autoridades de certificación (CA) de IdM integradas: la CA de ipa o cualquiera de sus sub-CA.
Las entidades de IdM incluyen:
- Usuarios
- Anfitriones
- Servicios
Los servicios suelen ejecutarse en nodos de servicio dedicados en los que se almacenan las claves privadas. Copiar la clave privada de un servicio en el servidor de IdM se considera inseguro. Por lo tanto, al solicitar un certificado para un servicio, cree la solicitud de firma de certificado (CSR) en el nodo de servicio.
Requisitos previos
- Su implementación de IdM contiene una CA integrada.
- Ha iniciado la sesión en la interfaz web de IdM como administrador de IdM.
Procedimiento
-
En la pestaña
Identity, seleccione la subpestañaUsers,Hosts, oServices. Haga clic en el nombre del usuario, host o servicio para abrir su página de configuración.
Figura 39.1. Lista de anfitriones
-
Haga clic en
. - Opcional: Seleccione la CA emisora y el ID del perfil.
-
Siga las instrucciones para utilizar la utilidad de línea de comandos (CLI)
certutilen la pantalla. - Haga clic en el .
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}