17.2. Obtention d'un certificat IdM pour un service à l'aide de certmonger
Pour garantir que la communication entre les navigateurs et le service web exécuté sur votre client de gestion d'identité (IdM) est sécurisée et cryptée, utilisez un certificat TLS. Obtenez le certificat TLS pour votre service web auprès de l'autorité de certification (AC) IdM.
Cette section décrit comment utiliser certmonger
pour obtenir un certificat IdM pour un service (HTTP/my_company.idm.example.com
@IDM.EXAMPLE.COM
) fonctionnant sur un client IdM.
L'utilisation de certmonger
pour demander le certificat automatiquement signifie que certmonger
gère et renouvelle le certificat lorsqu'il doit être renouvelé.
Pour une représentation visuelle de ce qui se passe lorsque certmonger
demande un certificat de service, voir Section 17.3, « Flux de communication pour le demandeur de certificat demandant un certificat de service ».
Conditions préalables
- Le serveur web est enregistré en tant que client IdM.
- Vous avez un accès root au client IdM sur lequel vous exécutez la procédure.
- Le service pour lequel vous demandez un certificat ne doit pas nécessairement préexister dans l'IdM.
Procédure
Sur le client
my_company.idm.example.com
IdM sur lequel le serviceHTTP
est exécuté, demandez un certificat pour le service correspondant au principalHTTP/my_company.idm.example.com@IDM.EXAMPLE.COM
et spécifiez que-
Le certificat doit être stocké dans le fichier local
/etc/pki/tls/certs/httpd.pem
-
La clé privée doit être stockée dans le fichier local
/etc/pki/tls/private/httpd.key
Qu'une demande d'extension pour
SubjectAltName
soit ajoutée à la demande de signature avec le nom DNS demy_company.idm.example.com
:# ipa-getcert request -K HTTP/my_company.idm.example.com -k /etc/pki/tls/private/httpd.key -f /etc/pki/tls/certs/httpd.pem -g 2048 -D my_company.idm.example.com -C "systemctl restart httpd" New signing request "20190604065735" added.
Dans la commande ci-dessus :
-
La commande
ipa-getcert request
spécifie que le certificat doit être obtenu auprès de l'autorité de certification IdM. La commandeipa-getcert request
est un raccourci pourgetcert request -c IPA
. -
L'option
-g
spécifie la taille de la clé à générer s'il n'y en a pas déjà une. -
L'option
-D
spécifie la valeur DNSSubjectAltName
à ajouter à la demande. -
L'option
-C
demande àcertmonger
de redémarrer le servicehttpd
après avoir obtenu le certificat.
-
Pour spécifier que le certificat doit être émis avec un profil particulier, utilisez l'option
-T
. -
Pour demander à l'autorité de certification spécifiée un certificat utilisant l'émetteur nommé, utilisez l'option
-X ISSUER
.
-
La commande
-
Le certificat doit être stocké dans le fichier local
Optionnellement, pour vérifier le statut de votre demande :
# ipa-getcert list -f /etc/pki/tls/certs/httpd.pem Number of certificates and requests being tracked: 3. Request ID '20190604065735': status: MONITORING stuck: no key pair storage: type=FILE,location='/etc/pki/tls/private/httpd.key' certificate: type=FILE,location='/etc/pki/tls/certs/httpd.crt' CA: IPA [...]
La sortie montre que la demande est à l'état
MONITORING
, ce qui signifie qu'un certificat a été obtenu. Les emplacements de la paire de clés et du certificat sont ceux demandés.