Red Hat Summit39.3. Solicitud de nuevos certificados para un usuario, host o servicio a la CA IdM mediante openssl
Puede utilizar la utilidad openssl para solicitar un certificado para un host o servicio de gestión de identidades (IdM) si desea asegurarse de que el alias de Kerberos del host o servicio puede utilizar el certificado. En situaciones estándar, considere la posibilidad de solicitar un nuevo certificado mediante la utilidad certutil.
Esta sección describe cómo solicitar un certificado para un host o servicio de IdM a ipa, la autoridad de certificación de IdM, utilizando openssl.
Los servicios suelen ejecutarse en nodos de servicio dedicados en los que se almacenan las claves privadas. Copiar la clave privada de un servicio en el servidor de IdM se considera inseguro. Por lo tanto, al solicitar un certificado para un servicio, cree la solicitud de firma de certificado (CSR) en el nodo de servicio.
Requisitos previos
- Su implementación de IdM contiene una CA integrada.
- Has iniciado sesión en la interfaz de línea de comandos (CLI) de IdM como administrador de IdM.
Procedimiento
- Cree uno o varios alias para su entidad de crédito Kerberos test/server.example.com. Por ejemplo, test1/server.example.com y test2/server.example.com.
En el CSR, añada un subjectAltName para dnsName (server.example.com) y otherName (test2/server.example.com). Para ello, configure el archivo
openssl.confpara incluir la siguiente línea que especifica el UPN otherName y subjectAltName:otherName=1.3.6.1.4.1.311.20.2.3;UTF8:test2/server.example.com@EXAMPLE.COM DNS.1 = server.example.comCree una solicitud de certificado utilizando
openssl:openssl req -new -newkey rsa:2048 -keyout test2service.key -sha256 -nodes -out certificate_request.csr -config openssl.confEnvíe el archivo de solicitud de certificado a la CA que se ejecuta en el servidor IdM. Especifique la entidad de seguridad de Kerberos que se asociará con el certificado recién emitido:
# ipa cert-request certificate_request.csr --principal=host/server.example.comEl comando
ipa cert-requesten IdM utiliza los siguientes valores por defecto:El perfil del certificado
caIPAserviceCertPara seleccionar un perfil personalizado, utilice la opción
--profile-id.La CA raíz de IdM integrada,
ipaPara seleccionar una sub-CA, utilice la opción
--ca.
Recursos adicionales
-
Para más información sobre el comando
ipa cert-request, consulte la salida del comandoipa cert-request --help. - Para obtener más información sobre la creación de un perfil de certificado personalizado, consulte Creación y gestión de perfiles de certificado en Gestión de identidades.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}