2.2. Demande de nouveaux certificats pour un utilisateur, un hôte ou un service auprès de l'autorité de certification IdM à l'aide de certutil
Vous pouvez utiliser l'utilitaire certutil
pour demander un certificat pour un utilisateur, un hôte ou un service de gestion d'identité (IdM) dans des situations IdM standard. Pour s'assurer qu'un alias Kerberos d'hôte ou de service peut utiliser un certificat, utilisez plutôt l'utilitaire openssl pour demander un certificat.
Cette section décrit comment demander un certificat pour un utilisateur, un hôte ou un service IdM à ipa
, l'autorité de certification (AC) IdM, en utilisant certutil
.
Les services sont généralement exécutés sur des nœuds de service dédiés sur lesquels les clés privées sont stockées. La copie de la clé privée d'un service sur le serveur IdM n'est pas considérée comme sûre. Par conséquent, lorsque vous demandez un certificat pour un service, créez la demande de signature de certificat (CSR) sur le nœud de service.
Conditions préalables
- Votre déploiement IdM contient une autorité de certification intégrée.
- Vous êtes connecté à l'interface de ligne de commande (CLI) d'IdM en tant qu'administrateur d'IdM.
Procédure
Créez un répertoire temporaire pour la base de données des certificats :
# mkdir ~/certdb/
Créez une nouvelle base de données temporaire de certificats, par exemple :
# certutil -N -d ~/certdb/
Créez la CSR et redirigez la sortie vers un fichier. Par exemple, pour créer une CSR pour un certificat de 4096 bits et définir l'objet à CN=server.example.com,O=EXAMPLE.COM:
# certutil -R -d ~/certdb/ -a -g 4096 -s \N-CN=server.example.com,O=EXAMPLE.COM\N- server.example.com > certificate_request.csr
Soumettre le fichier de demande de certificat à l'autorité de certification fonctionnant sur le serveur IdM. Indiquer le principal Kerberos à associer au certificat nouvellement émis :
# ipa cert-request certificate_request.csr --principal=host/server.example.com
La commande
ipa cert-request
dans IdM utilise les valeurs par défaut suivantes :Le profil de certificat
caIPAserviceCert
Pour sélectionner un profil personnalisé, utilisez l'option
--profile-id
.L'autorité de certification racine de l'IdM intégrée,
ipa
Pour sélectionner un sous-CA, utilisez l'option
--ca
.
Ressources supplémentaires
-
Voir le résultat de la commande
ipa cert-request --help
. - Voir Création et gestion des profils de certificats dans la gestion des identités.