Rechercher
SupportConsoleDéveloppeursCommencer un essaiContact

2.3. Demande de nouveaux certificats pour un utilisateur, un hôte ou un service auprès de l'autorité de certification IdM à l'aide d'openssl

download PDF

Vous pouvez utiliser l'utilitaire openssl pour demander un certificat pour un hôte ou un service de gestion d'identité (IdM) si vous voulez vous assurer que l'alias Kerberos de l'hôte ou du service peut utiliser le certificat. Dans les situations standard, il est préférable de demander un nouveau certificat à l'aide de l'utilitaire certutil.

Cette section décrit comment demander un certificat pour un hôte ou un service IdM à ipa, l'autorité de certification IdM, en utilisant openssl.

Important

Les services sont généralement exécutés sur des nœuds de service dédiés sur lesquels les clés privées sont stockées. La copie de la clé privée d'un service sur le serveur IdM n'est pas considérée comme sûre. Par conséquent, lorsque vous demandez un certificat pour un service, créez la demande de signature de certificat (CSR) sur le nœud de service.

Conditions préalables

  • Votre déploiement IdM contient une autorité de certification intégrée.
  • Vous êtes connecté à l'interface de ligne de commande (CLI) d'IdM en tant qu'administrateur d'IdM.

Procédure

  1. Créez un ou plusieurs alias pour votre principal Kerberos test/server.example.com. Par exemple, test1/server.example.com et test2/server.example.com.

  2. Dans le CSR, ajoutez un subjectAltName pour dnsName (server.example.com) et otherName (test2/server.example.com). Pour ce faire, configurez le fichier openssl.conf pour qu'il contienne la ligne suivante spécifiant l'UPN otherName et subjectAltName : 

    otherName=1.3.6.1.4.1.311.20.2.3;UTF8:test2/server.example.com@EXAMPLE.COM
DNS.1 = server.example.com

  3. Créez une demande de certificat à l'aide de openssl: 

    openssl req -new -newkey rsa :2048 -keyout test2service.key -sha256 -nodes -out certificate_request.csr -config openssl.conf

  4. Soumettre le fichier de demande de certificat à l'autorité de certification fonctionnant sur le serveur IdM. Indiquer le principal Kerberos à associer au certificat nouvellement émis : 

    # ipa cert-request certificate_request.csr --principal=host/server.example.com

    La commande ipa cert-request dans IdM utilise les valeurs par défaut suivantes :

    • Le profil de certificat caIPAserviceCert

      Pour sélectionner un profil personnalisé, utilisez l'option --profile-id.

    • L'autorité de certification racine de l'IdM intégrée, ipa

      Pour sélectionner un sous-CA, utilisez l'option --ca.

Ressources supplémentaires

Red Hat logoGithubRedditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez leBlog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

© 2024 Red Hat, Inc.