64.5. 証明書プロファイルおよび CA ACL を使用した証明書発行
認証局のアクセス制御リスト (CA ACL) が許可する場合は、証明書プロファイルを使用して証明書を要求できます。CA ACL 経由でアクセスが付与されたカスタム証明書プロファイルを使用して、ユーザーの S/MIME 証明書を要求するするには、次の手順に従います。
前提条件
- 証明書プロファイルが作成されている。
- ユーザーが必要な証明書プロファイルを使用して証明書を要求可能な CA ACL が作成されている。
注記
cert-request コマンドを実行するユーザーが以下の条件に該当する場合には、CA ACL チェックを回避できます。
-
adminユーザーである。 -
Request Certificate ignoring CA ACLsパーミッションがある。
手順
ユーザーの証明書要求を生成します。例: OpenSSL の使用:
$ openssl req -new -newkey rsa:2048 -days 365 -nodes -keyout private.key -out cert.csr -subj '/CN=smime_user'
IdM CA からユーザーの新しい証明書を要求します。
$ ipa cert-request cert.csr --principal=smime_user --profile-id=smime
必要に応じて、--ca sub-CA_name オプションをコマンドに指定して、ルート CA ではなくサブ CA から証明書を要求します。
検証手順
新たに発行した証明書がユーザーに割り当てられていることを確認します。
$ ipa user-show user User login: user ... Certificate: MIICfzCCAWcCAQA... ...
関連情報
-
ipa(a)の man ページを参照してください。 -
ipa help user-showコマンドを参照してください。 -
ipa help cert-requestコマンドを参照してください。 -
openssl(lssl)の man ページを参照してください。
