61.2. certutil を使用した IdM CA からのユーザー、ホスト、またはサービスの新規証明書の要求
標準の IdM 状況で Identity Management (IdM) ユーザー、ホスト、またはサービスの証明書を要求するには、certutil
ユーティリティーを使用できます。ホストまたはサービスの Kerberos エイリアスが証明書を使用できるようにするには、代わりに openssl ユーティリティーを使用して証明書を要求 します。
以下の手順に従って、certutil
を使用して、ipa
(IdM 認証局(CA)) から IdM ユーザー、ホスト、またはサービスの証明書を要求します。
サービスは通常、秘密鍵の保存先となる専用のサービスノードで実行されます。サービスの秘密鍵を IdM サーバーにコピーすることは、安全ではないとみなされます。したがって、サービスの証明書を要求する場合には、サービスノードで証明書署名要求 (CSR) を作成します。
前提条件
- IdM デプロイメントに統合 CA が含まれている。
- IdM 管理者として IdM コマンドラインインターフェイス (CLI) にログインしている。
手順
証明書データベースの一時ディレクトリーを作成します。
# mkdir ~/certdb/
以下のように、新しい一時証明書データベースを作成します。
# certutil -N -d ~/certdb/
CSR を作成し、出力をファイルにリダイレクトします。たとえば、4096 ビット証明書の CSR を作成し、発行先を CN=server.example.com,O=EXAMPLE.COM に設定するには、以下を実行します。
# certutil -R -d ~/certdb/ -a -g 4096 -s "CN=server.example.com,O=EXAMPLE.COM" -8 server.example.com > certificate_request.csr
IdM サーバーで実行している CA に証明書要求ファイルを送信します。新しく発行した証明書に関連付ける Kerberos プリンシパルを指定します。
# ipa cert-request certificate_request.csr --principal=host/server.example.com
IdM の
ipa cert-request
コマンドは、次のデフォルトを使用します。caIPAserviceCert
証明書プロファイルカスタムプロファイルを選択するには、
--profile-id
オプションを使用します。統合 IdM のルート CA (
ipa
)サブ CA を選択するには、
--ca
オプションを使用します。
関連情報
-
ipa cert-request --help
コマンドの出力を参照してください。 - Identity Management での証明書プロファイルの作成および管理 を参照してください。