5.5. Utilisation des profils de certificats et des listes de contrôle de l'autorité de certification pour émettre des certificats
Vous pouvez demander des certificats à l'aide d'un profil de certificat lorsque les listes de contrôle d'accès (CA ACL) de l'autorité de certification l'autorisent. Cette procédure décrit comment demander un certificat S/MIME pour un utilisateur utilisant un profil de certificat personnalisé auquel l'accès a été accordé via une liste de contrôle d'accès de l'autorité de certification.
Conditions préalables
- Votre profil de certificat a été créé.
- Une liste de contrôle CA a été créée pour permettre à l'utilisateur d'utiliser le profil de certificat requis pour demander un certificat.
Vous pouvez contourner la vérification de la CAL si l'utilisateur qui exécute la commande cert-request:
-
Est l'utilisateur de
admin. -
A l'autorisation de
Request Certificate ignoring CA ACLs.
Procédure
Générer une demande de certificat pour l'utilisateur. Par exemple, en utilisant OpenSSL :
$ openssl req -new -newkey rsa:2048 -days 365 -nodes -keyout private.key -out cert.csr -subj '/CN=smime_user'
Demander un nouveau certificat pour l'utilisateur à l'autorité de certification IdM :
$ ipa cert-request cert.csr --principal=smime_user --profile-id=smime
L'option --ca sub-CA_name peut être ajoutée à la commande pour demander le certificat à une autorité de certification secondaire plutôt qu'à l'autorité de certification racine.
Verification steps
Vérifiez que le certificat nouvellement émis est attribué à l'utilisateur :
$ ipa user-show user User login: user ... Certificate: MIICfzCCAWcCAQA... ...
Ressources supplémentaires
-
Voir la page de manuel
ipa(a). -
Voir la commande
ipa help user-show. -
Voir la commande
ipa help cert-request. -
Voir la page de manuel
openssl(lssl).
