11.4. Renouvellement du serveur de renouvellement de l'autorité de certification IdM avec un certificat signé en externe
Cette section décrit comment renouveler le certificat de l'autorité de certification (AC) de Identity Management (IdM) en utilisant une AC externe pour signer la demande de signature de certificat (CSR). Dans cette configuration, le serveur de l'autorité de certification IdM est une sous-autorité de certification de l'autorité de certification externe. L'autorité de certification externe peut être un serveur de certificats Active Directory (AD CS), mais ce n'est pas obligatoire.
Si l'autorité de certification externe est AD CS, vous pouvez spécifier le modèle que vous souhaitez pour le certificat de l'autorité de certification IdM dans la RSC. Un modèle de certificat définit les politiques et les règles qu'une autorité de certification utilise lorsqu'elle reçoit une demande de certificat. Les modèles de certificat dans AD correspondent aux profils de certificat dans IdM.
Vous pouvez définir un modèle AD CS spécifique par son identifiant d'objet (OID). Les OID sont des valeurs numériques uniques émises par diverses autorités pour identifier de manière unique des éléments de données, des syntaxes et d'autres parties d'applications distribuées.
Vous pouvez également définir un modèle AD CS spécifique par son nom. Par exemple, le nom du profil par défaut utilisé dans une RSC soumise par une AC IdM à une CS AD est subCA.
Pour définir un profil en spécifiant son OID ou son nom dans la CSR, utilisez l'option external-ca-profile. Pour plus de détails, voir la page de manuel ipa-cacert-manage.
Outre l'utilisation d'un modèle de certificat prêt à l'emploi, vous pouvez également créer un modèle de certificat personnalisé dans l'AD CS et l'utiliser dans la CSR.
Conditions préalables
- Vous disposez d'un accès root au serveur de renouvellement de l'autorité de certification IdM.
Procédure
Suivez cette procédure pour renouveler le certificat de l'autorité de certification IdM avec une signature externe, que le certificat actuel de l'autorité de certification soit auto-signé ou signé de manière externe.
Créer une RSC à soumettre à l'autorité de certification externe :
Si l'autorité de certification externe est un CS AD, utilisez l'option
--external-ca-type=ms-cs. Si vous souhaitez un modèle différent du modèle par défautsubCA, indiquez-le à l'aide de l'option--external-ca-profile:~]#
ipa-cacert-manage renew --external-ca --external-ca-type=ms-cs [--external-ca-profile=PROFILE]Exporting CA certificate signing request, please wait The next step is to get /var/lib/ipa/ca.csr signed by your CA and re-run ipa-cacert-manage as: ipa-cacert-manage renew --external-cert-file=/path/to/signed_certificate --external-cert-file=/path/to/external_ca_certificate The ipa-cacert-manage command was successfulSi l'autorité de certification externe n'est pas une autorité de certification AD :
~]#
ipa-cacert-manage renew --external-caExporting CA certificate signing request, please wait The next step is to get /var/lib/ipa/ca.csr signed by your CA and re-run ipa-cacert-manage as: ipa-cacert-manage renew --external-cert-file=/path/to/signed_certificate --external-cert-file=/path/to/external_ca_certificate The ipa-cacert-manage command was successfulLa sortie montre qu'un CSR a été créé et qu'il est stocké dans le fichier
/var/lib/ipa/ca.csr.
-
Soumettre le CSR situé dans
/var/lib/ipa/ca.csrà l'autorité de certification externe. La procédure diffère selon le service utilisé comme autorité de certification externe. Récupérer le certificat émis et la chaîne de certificats de l'autorité de certification émettrice dans un blob codé en base 64, qui est :
- un fichier PEM si l'autorité de certification externe n'est pas une autorité de certification AD.
un certificat Base_64 si l'autorité de certification externe est un CS AD.
La procédure diffère d'un service de certification à l'autre. En général, un lien de téléchargement sur une page web ou dans l'e-mail de notification permet à l'administrateur de télécharger tous les certificats requis.
Si l'autorité de certification externe est un CS AD et que vous avez soumis la RSC avec un modèle connu via la fenêtre de gestion de l'autorité de certification de Microsoft Windows, le CS AD émet immédiatement le certificat et la boîte de dialogue Enregistrer le certificat apparaît dans l'interface web du CS AD, demandant où enregistrer le certificat émis.
Exécutez à nouveau la commande
ipa-cacert-manage renew, en ajoutant tous les fichiers de certificats d'autorité de certification nécessaires pour fournir une chaîne de certificats complète. Spécifiez autant de fichiers que nécessaire, en utilisant plusieurs fois l'option--external-cert-file:~]#
ipa-cacert-manage renew --external-cert-file=/path/to/signed_certificate --external-cert-file=/path/to/external_ca_certificate_1 --external-cert-file=/path/to/external_ca_certificate_2Sur tous les serveurs et clients IdM, mettre à jour les bases de données locales de certificats IdM avec les certificats du serveur :
[client ~]$ ipa-certupdate Systemwide CA database updated. Systemwide CA database updated. The ipa-certupdate command was successfulOptionnellement, pour vérifier si la mise à jour a réussi et si le nouveau certificat d'autorité de certification a été ajouté au fichier
/etc/ipa/ca.crt:[client ~]$ openssl crl2pkcs7 -nocrl -certfile /etc/ipa/ca.crt | openssl pkcs7 -print_certs -text -noout [...] Certificate: Data: Version: 3 (0x2) Serial Number: 39 (0x27) Signature Algorithm: sha256WithRSAEncryption Issuer: O=IDM.EXAMPLE.COM, CN=Certificate Authority Validity Not Before: Jul 1 16:32:45 2019 GMT Not After : Jul 1 16:32:45 2039 GMT Subject: O=IDM.EXAMPLE.COM, CN=Certificate Authority [...]La sortie montre que la mise à jour a réussi puisque le nouveau certificat d'autorité de certification est listé avec les anciens certificats d'autorité de certification.
