61.3. openssl を使用した IdM CA からのユーザー、ホスト、またはサービスの新規証明書の要求
ホストまたはサービスの Kerberos エイリアスが証明書を使用できるようにするには、openssl
ユーティリティーを使用して、Identity Management (IdM) ホストまたはサービスの証明書を要求してください。標準の状況では、代わりに certutil ユーティリティーを使用して新しい証明書を要求することを 検討してください。
以下の手順に従って、openssl
を使用して、IdM ホスト、または ipa
(IdM 認証局) からサービスの証明書を要求します。
サービスは通常、秘密鍵の保存先となる専用のサービスノードで実行されます。サービスの秘密鍵を IdM サーバーにコピーすることは、安全ではないとみなされます。したがって、サービスの証明書を要求する場合には、サービスノードで証明書署名要求 (CSR) を作成します。
前提条件
- IdM デプロイメントに統合 CA が含まれている。
- IdM 管理者として IdM コマンドラインインターフェイス (CLI) にログインしている。
手順
- Kerberos プリンシパル test/server.example.com のエイリアスを 1 つ以上作成します。例: test1/server.example.com および test2/server.example.com
CSR で dnsName (server.example.com) と otherName (test2/server.example.com) の subjectAltName を追加します。これには、UPN otherName および subjectAltName を指定する以下の行を追加するように、
openssl.conf
ファイルを 設定します。otherName=1.3.6.1.4.1.311.20.2.3;UTF8:test2/server.example.com@EXAMPLE.COM DNS.1 = server.example.com
openssl
を使用して証明書要求を作成します。openssl req -new -newkey rsa:2048 -keyout test2service.key -sha256 -nodes -out certificate_request.csr -config openssl.conf
IdM サーバーで実行している CA に証明書要求ファイルを送信します。新しく発行した証明書に関連付ける Kerberos プリンシパルを指定します。
# ipa cert-request certificate_request.csr --principal=host/server.example.com
IdM の
ipa cert-request
コマンドは、次のデフォルトを使用します。caIPAserviceCert
証明書プロファイルカスタムプロファイルを選択するには、
--profile-id
オプションを使用します。統合 IdM のルート CA (
ipa
)サブ CA を選択するには、
--ca
オプションを使用します。
関連情報
-
ipa cert-request --help
コマンドの出力を参照してください。 - Identity Management での証明書プロファイルの作成および管理 を参照してください。