60.2. IdM ユーザーアカウントに読み込む外部証明書の変換
このセクションでは、外部証明書がユーザーエントリーに追加される前に、適切にエンコードされおよび形式が正しいことを確認する方法を説明します。
60.2.1. 前提条件
-
証明書が Active Directory 認証局によって発行され、
PEM
エンコーディングを使用する場合は、PEM
ファイルがUNIX
形式に変換されていることを確認します。ファイルを変換するには、dos2unix パッケージが提供するdos2unix
ユーティリティーを使用します。
60.2.2. IdM CLI での外部証明書の変換および IdM ユーザーアカウントへの読み込み
IdM CLI
では、最初の行および最後の行 (-----BEGIN CERTIFICATE----- および -----END CERTIFICATE-----) が削除された PEM
証明書のみが使用できます。
以下の手順に従って、外部証明書を PEM
形式に変換し、IdM CLI を使用して IdM ユーザーアカウントに追加します。
手順
証明書を
PEM
形式に変換します。証明書が
DER
形式の場合は、次のようになります。$ openssl x509 -in cert.crt -inform der -outform pem -out cert.pem
ファイルが
PKCS #12
形式で、共通のファイル名の拡張子が.pfx
および.p12
で、証明書、秘密鍵、およびその他のデータが含まれている場合は、openssl pkcs12
ユーティリティーを使用して証明書をデプロイメントします。プロンプトが表示されたら、そのファイルに保存されている秘密鍵をパスワードで保護します。$ openssl pkcs12 -in cert_and_key.p12 -clcerts -nokeys -out cert.pem Enter Import Password:
管理者の認証情報を取得します。
$ kinit admin
以下のいずれかの方法で、
IdM CLI
を使用して証明書をユーザーアカウントに追加します。文字列を
ipa user-add-cert
コマンドに追加する前に、sed
ユーティリティーを使用してPEM
ファイルの最初の行および最後の行 (-----BEGIN CERTIFICATE----- および -----END CERTIFICATE-----) を削除します。$ ipa user-add-cert some_user --certificate="$(sed -e '/BEGIN CERTIFICATE/d;/END CERTIFICATE/d' cert.pem)"
最初の行と最後の行 (-----BEGIN CERTIFICATE----- および -----END CERTIFICATE-----) がない証明書ファイルのコンテンツを、
ipa user-add-cert
コマンドにコピーして貼り付けます。$ ipa user-add-cert some_user --certificate=MIIDlzCCAn+gAwIBAgIBATANBgkqhki...
注記最初の行および最後の行 (-----BEGIN CERTIFICATE----- および -----END CERTIFICATE-----) を削除せずに、直接証明書を含む
PEM
ファイルを、ipa user-add-cert
コマンドへの入力として直接渡すことはできません。$ ipa user-add-cert some_user --cert=some_user_cert.pem
このコマンドの結果、ipa: ERROR: Base64 decoding failed: Incorrect padding エラーメッセージが表示されます。
必要に応じて、システムで証明書が許可されているかどうかを確認するには、次のコマンドを実行します。
[idm_user@r8server]$ ipa user-show some_user
60.2.3. IdM ユーザーアカウントに読み込むための IdM Web UI での外部証明書の変換
以下の手順に従って、外部証明書を PEM
形式に変換し、これを IdM Web UI の IdM ユーザーアカウントに追加します。
手順
CLI
を使用して、証明書をPEM
形式に変換します。証明書が
DER
形式の場合は、次のようになります。$ openssl x509 -in cert.crt -inform der -outform pem -out cert.pem
ファイルが
PKCS #12
形式で、共通のファイル名の拡張子が.pfx
および.p12
で、証明書、秘密鍵、およびその他のデータが含まれている場合は、openssl pkcs12
ユーティリティーを使用して証明書をデプロイメントします。プロンプトが表示されたら、そのファイルに保存されている秘密鍵をパスワードで保護します。$ openssl pkcs12 -in cert_and_key.p12 -clcerts -nokeys -out cert.pem Enter Import Password:
-
エディターで証明書を開き、コンテンツをコピーします。IdM Web UI には
PEM
形式およびbase64
形式が使用できるため、ヘッダー行-----BEGIN CERTIFICATE-----およびフッター行-----END CERTIFICATE-----を含めることができます。 - IdM Web UI で、セキュリティー担当者としてログインします。
-
Identity
Users
some_user
の順に選択します。 -
証明書
の横にある追加
をクリックします。 - 表示されるウインドウに、PEM 形式のコンテンツを貼り付けます。
-
Add
をクリックします。
証明書がシステムに受け入れられる場合は、ユーザープロファイルの 証明書
間でリストに表示されるのを確認できます。