Rechercher
SupportConsoleDéveloppeursCommencer un essaiContact

2.2. Demande de nouveaux certificats pour un utilisateur, un hôte ou un service auprès de l'autorité de certification IdM à l'aide de certutil

download PDF

Vous pouvez utiliser l'utilitaire certutil pour demander un certificat pour un utilisateur, un hôte ou un service de gestion d'identité (IdM) dans des situations IdM standard. Pour s'assurer qu'un alias Kerberos d'hôte ou de service peut utiliser un certificat, utilisez plutôt l'utilitaire openssl pour demander un certificat.

Cette section décrit comment demander un certificat pour un utilisateur, un hôte ou un service IdM à ipa, l'autorité de certification (AC) IdM, en utilisant certutil.

Important

Les services sont généralement exécutés sur des nœuds de service dédiés sur lesquels les clés privées sont stockées. La copie de la clé privée d'un service sur le serveur IdM n'est pas considérée comme sûre. Par conséquent, lorsque vous demandez un certificat pour un service, créez la demande de signature de certificat (CSR) sur le nœud de service.

Conditions préalables

  • Votre déploiement IdM contient une autorité de certification intégrée.
  • Vous êtes connecté à l'interface de ligne de commande (CLI) d'IdM en tant qu'administrateur d'IdM.

Procédure

  1. Créez un répertoire temporaire pour la base de données des certificats : 

    # mkdir ~/certdb/

  2. Créez une nouvelle base de données temporaire de certificats, par exemple : 

    # certutil -N -d ~/certdb/

  3. Créez la CSR et redirigez la sortie vers un fichier. Par exemple, pour créer une CSR pour un certificat de 4096 bits et définir l'objet à CN=server.example.com,O=EXAMPLE.COM: 

    # certutil -R -d ~/certdb/ -a -g 4096 -s \N-CN=server.example.com,O=EXAMPLE.COM\N- server.example.com > certificate_request.csr

  4. Soumettre le fichier de demande de certificat à l'autorité de certification fonctionnant sur le serveur IdM. Indiquer le principal Kerberos à associer au certificat nouvellement émis : 

    # ipa cert-request certificate_request.csr --principal=host/server.example.com

    La commande ipa cert-request dans IdM utilise les valeurs par défaut suivantes :

    • Le profil de certificat caIPAserviceCert

      Pour sélectionner un profil personnalisé, utilisez l'option --profile-id.

    • L'autorité de certification racine de l'IdM intégrée, ipa

      Pour sélectionner un sous-CA, utilisez l'option --ca.

Ressources supplémentaires

Red Hat logoGithubRedditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez leBlog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

© 2024 Red Hat, Inc.