2.3. Demande de nouveaux certificats pour un utilisateur, un hôte ou un service auprès de l'autorité de certification IdM à l'aide d'openssl
Vous pouvez utiliser l'utilitaire openssl
pour demander un certificat pour un hôte ou un service de gestion d'identité (IdM) si vous voulez vous assurer que l'alias Kerberos de l'hôte ou du service peut utiliser le certificat. Dans les situations standard, il est préférable de demander un nouveau certificat à l'aide de l'utilitaire certutil.
Cette section décrit comment demander un certificat pour un hôte ou un service IdM à ipa
, l'autorité de certification IdM, en utilisant openssl
.
Les services sont généralement exécutés sur des nœuds de service dédiés sur lesquels les clés privées sont stockées. La copie de la clé privée d'un service sur le serveur IdM n'est pas considérée comme sûre. Par conséquent, lorsque vous demandez un certificat pour un service, créez la demande de signature de certificat (CSR) sur le nœud de service.
Conditions préalables
- Votre déploiement IdM contient une autorité de certification intégrée.
- Vous êtes connecté à l'interface de ligne de commande (CLI) d'IdM en tant qu'administrateur d'IdM.
Procédure
- Créez un ou plusieurs alias pour votre principal Kerberos test/server.example.com. Par exemple, test1/server.example.com et test2/server.example.com.
Dans le CSR, ajoutez un subjectAltName pour dnsName (server.example.com) et otherName (test2/server.example.com). Pour ce faire, configurez le fichier
openssl.conf
pour qu'il contienne la ligne suivante spécifiant l'UPN otherName et subjectAltName :otherName=1.3.6.1.4.1.311.20.2.3;UTF8:test2/server.example.com@EXAMPLE.COM DNS.1 = server.example.com
Créez une demande de certificat à l'aide de
openssl
:openssl req -new -newkey rsa :2048 -keyout test2service.key -sha256 -nodes -out certificate_request.csr -config openssl.conf
Soumettre le fichier de demande de certificat à l'autorité de certification fonctionnant sur le serveur IdM. Indiquer le principal Kerberos à associer au certificat nouvellement émis :
# ipa cert-request certificate_request.csr --principal=host/server.example.com
La commande
ipa cert-request
dans IdM utilise les valeurs par défaut suivantes :Le profil de certificat
caIPAserviceCert
Pour sélectionner un profil personnalisé, utilisez l'option
--profile-id
.L'autorité de certification racine de l'IdM intégrée,
ipa
Pour sélectionner un sous-CA, utilisez l'option
--ca
.
Ressources supplémentaires
-
Voir le résultat de la commande
ipa cert-request --help
. - Voir Création et gestion des profils de certificats dans la gestion des identités.