5.2. IdM CLI での外部証明書の変換および IdM ユーザーアカウントへの読み込み

手順

1. 証明書を PEM 形式に変換します。

   • 証明書が DER 形式の場合は、次のようになります。

     $ openssl x509 -in cert.crt -inform der -outform pem -out cert.pem

   • ファイルが PKCS #12 形式 (一般的なファイル名拡張子は .pfx と .p12) であり、証明書、秘密鍵、およびその他のデータが含まれている場合は、openssl pkcs12 ユーティリティーを使用して証明書を抽出します。プロンプトが表示されたら、そのファイルに保存されている秘密鍵をパスワードで保護します。

     $ openssl pkcs12 -in cert_and_key.p12 -clcerts -nokeys -out cert.pem
     Enter Import Password:

2. 管理者の認証情報を取得します。

   $ kinit admin

3. 以下のいずれかの方法で、IdM CLI を使用して証明書をユーザーアカウントに追加します。

   • 文字列を ipa user-add-cert コマンドに追加する前に、sed ユーティリティーを使用して PEM ファイルの最初の行および最後の行 (-----BEGIN CERTIFICATE----- および -----END CERTIFICATE-----) を削除します。

     $ ipa user-add-cert some_user --certificate="$(sed -e '/BEGIN CERTIFICATE/d;/END CERTIFICATE/d' cert.pem)"

   • 最初の行と最後の行 (-----BEGIN CERTIFICATE----- および -----END CERTIFICATE-----) がない証明書ファイルのコンテンツを、ipa user-add-cert コマンドにコピーして貼り付けます。

     $ ipa user-add-cert some_user --certificate=MIIDlzCCAn+gAwIBAgIBATANBgkqhki...

     注記

     最初の行および最後の行 (-----BEGIN CERTIFICATE----- および -----END CERTIFICATE-----) を削除せずに、直接証明書を含む PEM ファイルを、ipa user-add-cert コマンドへの入力として直接渡すことはできません。

     $ ipa user-add-cert some_user --cert=some_user_cert.pem

     このコマンドの結果、"ipa: ERROR: Base64 decoding failed: Incorrect padding" エラーメッセージが表示されます。

4. 証明書がシステムによって許可されたかどうかを確認するには、次のコマンドを実行します。

   $ ipa user-show some_user