Rechercher

4.2. Conversion d'un certificat externe pour le charger dans un compte d'utilisateur IdM

download PDF

Cette section explique comment s'assurer qu'un certificat externe est correctement encodé et formaté avant de l'ajouter à une entrée utilisateur.

4.2.1. Conditions préalables

  • Si votre certificat a été émis par une autorité de certification Active Directory et utilise le codage PEM, assurez-vous que le fichier PEM a été converti au format UNIX. Pour convertir un fichier, utilisez l'utilitaire dos2unix fourni par le paquetage éponyme.

4.2.2. Conversion d'un certificat externe dans le CLI IdM et chargement dans un compte utilisateur IdM

Le site IdM CLI n'accepte qu'un certificat PEM dont la première et la dernière ligne (-----BEGIN CERTIFICATE----- et -----END CERTIFICATE-----) ont été supprimées.

Suivez cette procédure pour convertir un certificat externe au format PEM et l'ajouter à un compte utilisateur IdM à l'aide de la CLI IdM.

Procédure

  1. Convertir le certificat au format PEM:

    • Si votre certificat est au format DER:

      $ openssl x509 -in cert.crt -inform der -outform pem -out cert.pem
    • Si votre fichier est au format PKCS #12, dont les extensions courantes sont .pfx et .p12, et qu'il contient un certificat, une clé privée et éventuellement d'autres données, extrayez le certificat à l'aide de l'utilitaire openssl pkcs12. Lorsque vous y êtes invité, saisissez le mot de passe protégeant la clé privée stockée dans le fichier :

      $ openssl pkcs12 -in cert_and_key.p12 -clcerts -nokeys -out cert.pem
      Enter Import Password:
  2. Obtenir les informations d'identification de l'administrateur :

    $ kinit admin
  3. Ajoutez le certificat au compte d'utilisateur à l'aide du site IdM CLI en suivant l'une des méthodes suivantes :

    • Supprimez la première et la dernière ligne (-----BEGIN CERTIFICATE----- et -----END CERTIFICATE-----) du fichier PEM à l'aide de l'utilitaire sed avant d'ajouter la chaîne à la commande ipa user-add-cert:

      $ ipa user-add-cert some_user --certificate="$(sed -e '/BEGIN CERTIFICATE/d;/END CERTIFICATE/d' cert.pem)"
    • Copiez et collez le contenu du fichier de certificat sans les première et dernière lignes (-----BEGIN CERTIFICATE----- et -----END CERTIFICATE-----) dans la commande ipa user-add-cert:

      $ ipa user-add-cert some_user --certificate=MIIDlzCCAn gAwIBAgIBATANBgkqhki...
      Note

      Vous ne pouvez pas transmettre directement à la commande ipa user-add-cert un fichier PEM contenant le certificat, sans supprimer au préalable la première et la dernière ligne (-----BEGIN CERTIFICATE----- et -----END CERTIFICATE-----) :

      $ ipa user-add-cert some_user --cert=some_user_cert.pem

      Cette commande entraîne le message d'erreur "ipa : ERROR : Base64 decoding failed : Incorrect padding".

  4. Optionnellement, vérifier si le certificat a été accepté par le système :

    [idm_user@r8server]$ ipa user-show some_user

4.2.3. Conversion d'un certificat externe dans l'interface web IdM pour le charger dans un compte utilisateur IdM

Suivez cette procédure pour convertir un certificat externe au format PEM et l'ajouter à un compte utilisateur IdM dans l'interface web IdM.

Procédure

  1. A l'aide de CLI, convertissez le certificat au format PEM:

    • Si votre certificat est au format DER:

      $ openssl x509 -in cert.crt -inform der -outform pem -out cert.pem
    • Si votre fichier est au format PKCS #12, dont les extensions courantes sont .pfx et .p12, et qu'il contient un certificat, une clé privée et éventuellement d'autres données, extrayez le certificat à l'aide de l'utilitaire openssl pkcs12. Lorsque vous y êtes invité, saisissez le mot de passe protégeant la clé privée stockée dans le fichier :

      $ openssl pkcs12 -in cert_and_key.p12 -clcerts -nokeys -out cert.pem
      Enter Import Password:
  2. Ouvrez le certificat dans un éditeur et copiez-en le contenu. Vous pouvez inclure les lignes d'en-tête et de pied de page "-----BEGIN CERTIFICATE-----" et "-----END CERTIFICATE-----", mais ce n'est pas nécessaire, car les formats PEM et base64 sont tous deux acceptés par l'interface utilisateur Web de l'IdM.
  3. Dans l'interface web IdM, connectez-vous en tant que responsable de la sécurité.
  4. Allez à Identity Users some_user.
  5. Cliquez sur Add à côté de Certificates.
  6. Collez le contenu du certificat au format PEM dans la fenêtre qui s'ouvre.
  7. Cliquez sur Add.

Si le certificat a été accepté par le système, il figure parmi les Certificates dans le profil de l'utilisateur.

Red Hat logoGithubRedditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez leBlog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

© 2024 Red Hat, Inc.