SupportConsoleDéveloppeursCommencer un essaiContact

20.4. Obtention d'un certificat IdM pour un service à l'aide de certmonger

Pour garantir que la communication entre les navigateurs et le service web fonctionnant sur votre client IdM est sécurisée et cryptée, utilisez un certificat TLS. Si vous voulez restreindre les navigateurs web à faire confiance aux certificats émis par la sous-CA webserver-ca mais par aucune autre sous-CA IdM, obtenez le certificat TLS pour votre service web auprès de la sous-CA webserver-ca.

Cette section décrit comment utiliser certmonger pour obtenir un certificat IdM pour un service (HTTP/my_company.idm.example.com@IDM.EXAMPLE.COM) fonctionnant sur un client IdM.

L'utilisation de certmonger pour demander le certificat automatiquement signifie que certmonger gère et renouvelle le certificat lorsqu'il doit être renouvelé.

Pour une représentation visuelle de ce qui se passe lorsque certmonger demande un certificat de service, voir Section 20.5, « Flux de communication pour le demandeur de certificat demandant un certificat de service ».

Conditions préalables

  • Le serveur web est enregistré en tant que client IdM.
  • Vous avez un accès root au client IdM sur lequel vous exécutez la procédure.
  • Le service pour lequel vous demandez un certificat ne doit pas nécessairement préexister dans l'IdM.

Procédure

  1. Sur le client my_company.idm.example.com IdM sur lequel le service HTTP est exécuté, demandez un certificat pour le service correspondant au principal HTTP/my_company.idm.example.com@IDM.EXAMPLE.COM et spécifiez que

    • Le certificat doit être stocké dans le fichier local /etc/pki/tls/certs/httpd.pem
    • La clé privée doit être stockée dans le fichier local /etc/pki/tls/private/httpd.key
    • La sous-CA webserver-ca doit être l'autorité de certification émettrice

    • Qu'une demande d'extension pour SubjectAltName soit ajoutée à la demande de signature avec le nom DNS de my_company.idm.example.com: 

      # ipa-getcert request -K HTTP/my_company.idm.example.com -k /etc/pki/tls/private/httpd.key -f /etc/pki/tls/certs/httpd.pem -g 2048 -D my_company.idm.example.com -X webserver-ca -C "systemctl restart httpd"
New signing request "20190604065735" added.

      Dans la commande ci-dessus :

      • La commande ipa-getcert request spécifie que le certificat doit être obtenu auprès de l'autorité de certification IdM. La commande ipa-getcert request est un raccourci pour getcert request -c IPA.
      • L'option -g spécifie la taille de la clé à générer s'il n'y en a pas déjà une.
      • L'option -D spécifie la valeur DNS SubjectAltName à ajouter à la demande.
      • L'option -X précise que l'émetteur du certificat doit être webserver-ca et non ipa.
      • L'option -C demande à certmonger de redémarrer le service httpd après avoir obtenu le certificat.
      • Pour spécifier que le certificat doit être émis avec un profil particulier, utilisez l'option -T.

  2. Optionnellement, pour vérifier le statut de votre demande : 

    # ipa-getcert list -f /etc/pki/tls/certs/httpd.pem
Number of certificates and requests being tracked: 3.
Request ID '20190604065735':
    status: MONITORING
    stuck: no
    key pair storage: type=FILE,location='/etc/pki/tls/private/httpd.key'
    certificate: type=FILE,location='/etc/pki/tls/certs/httpd.crt'
    CA: IPA
    issuer: CN=WEBSERVER,O=IDM.EXAMPLE.COM

[...]

    La sortie montre que la demande est à l'état MONITORING, ce qui signifie qu'un certificat a été obtenu. Les emplacements de la paire de clés et du certificat sont ceux demandés.

Red Hat logoGithubRedditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez leBlog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

© 2024 Red Hat, Inc.