4.2. Conversion d'un certificat externe pour le charger dans un compte d'utilisateur IdM
Cette section explique comment s'assurer qu'un certificat externe est correctement encodé et formaté avant de l'ajouter à une entrée utilisateur.
4.2.1. Conditions préalables
-
Si votre certificat a été émis par une autorité de certification Active Directory et utilise le codage
PEM
, assurez-vous que le fichierPEM
a été converti au formatUNIX
. Pour convertir un fichier, utilisez l'utilitairedos2unix
fourni par le paquetage éponyme.
4.2.2. Conversion d'un certificat externe dans le CLI IdM et chargement dans un compte utilisateur IdM
Le site IdM CLI
n'accepte qu'un certificat PEM
dont la première et la dernière ligne (-----BEGIN CERTIFICATE----- et -----END CERTIFICATE-----) ont été supprimées.
Suivez cette procédure pour convertir un certificat externe au format PEM
et l'ajouter à un compte utilisateur IdM à l'aide de la CLI IdM.
Procédure
Convertir le certificat au format
PEM
:Si votre certificat est au format
DER
:$ openssl x509 -in cert.crt -inform der -outform pem -out cert.pem
Si votre fichier est au format
PKCS #12
, dont les extensions courantes sont.pfx
et.p12
, et qu'il contient un certificat, une clé privée et éventuellement d'autres données, extrayez le certificat à l'aide de l'utilitaireopenssl pkcs12
. Lorsque vous y êtes invité, saisissez le mot de passe protégeant la clé privée stockée dans le fichier :$ openssl pkcs12 -in cert_and_key.p12 -clcerts -nokeys -out cert.pem Enter Import Password:
Obtenir les informations d'identification de l'administrateur :
$ kinit admin
Ajoutez le certificat au compte d'utilisateur à l'aide du site
IdM CLI
en suivant l'une des méthodes suivantes :Supprimez la première et la dernière ligne (-----BEGIN CERTIFICATE----- et -----END CERTIFICATE-----) du fichier
PEM
à l'aide de l'utilitairesed
avant d'ajouter la chaîne à la commandeipa user-add-cert
:$ ipa user-add-cert some_user --certificate="$(sed -e '/BEGIN CERTIFICATE/d;/END CERTIFICATE/d' cert.pem)"
Copiez et collez le contenu du fichier de certificat sans les première et dernière lignes (-----BEGIN CERTIFICATE----- et -----END CERTIFICATE-----) dans la commande
ipa user-add-cert
:$ ipa user-add-cert some_user --certificate=MIIDlzCCAn gAwIBAgIBATANBgkqhki...
NoteVous ne pouvez pas transmettre directement à la commande
ipa user-add-cert
un fichierPEM
contenant le certificat, sans supprimer au préalable la première et la dernière ligne (-----BEGIN CERTIFICATE----- et -----END CERTIFICATE-----) :$ ipa user-add-cert some_user --cert=some_user_cert.pem
Cette commande entraîne le message d'erreur "ipa : ERROR : Base64 decoding failed : Incorrect padding".
Optionnellement, vérifier si le certificat a été accepté par le système :
[idm_user@r8server]$ ipa user-show some_user
4.2.3. Conversion d'un certificat externe dans l'interface web IdM pour le charger dans un compte utilisateur IdM
Suivez cette procédure pour convertir un certificat externe au format PEM
et l'ajouter à un compte utilisateur IdM dans l'interface web IdM.
Procédure
A l'aide de
CLI
, convertissez le certificat au formatPEM
:Si votre certificat est au format
DER
:$ openssl x509 -in cert.crt -inform der -outform pem -out cert.pem
Si votre fichier est au format
PKCS #12
, dont les extensions courantes sont.pfx
et.p12
, et qu'il contient un certificat, une clé privée et éventuellement d'autres données, extrayez le certificat à l'aide de l'utilitaireopenssl pkcs12
. Lorsque vous y êtes invité, saisissez le mot de passe protégeant la clé privée stockée dans le fichier :$ openssl pkcs12 -in cert_and_key.p12 -clcerts -nokeys -out cert.pem Enter Import Password:
-
Ouvrez le certificat dans un éditeur et copiez-en le contenu. Vous pouvez inclure les lignes d'en-tête et de pied de page "-----BEGIN CERTIFICATE-----" et "-----END CERTIFICATE-----", mais ce n'est pas nécessaire, car les formats
PEM
etbase64
sont tous deux acceptés par l'interface utilisateur Web de l'IdM. - Dans l'interface web IdM, connectez-vous en tant que responsable de la sécurité.
-
Allez à
Identity
Users
some_user
. -
Cliquez sur
Add
à côté deCertificates
. - Collez le contenu du certificat au format PEM dans la fenêtre qui s'ouvre.
-
Cliquez sur
Add
.
Si le certificat a été accepté par le système, il figure parmi les Certificates
dans le profil de l'utilisateur.