Red Hat SummitCapítulo 40. Conversão de formatos de certificados para trabalhar com IdM
Esta história de usuário descreve como garantir que você como administrador do sistema IdM esteja usando o formato correto de um certificado com comandos específicos de IdM. Isto é útil, por exemplo, nas seguintes situações:
- Você está carregando um certificado externo em um perfil de usuário. Para maiores detalhes, veja Seção 40.2, “Conversão de um certificado externo para carregar em uma conta de usuário IdM”.
- Você está usando um certificado CA externo ao configurar o servidor IdM para autenticação de Cartão Smart Card ou ao configurar o cliente IdM para autenticação de Cartão Smart Card para que os usuários possam autenticar no IdM usando Cartões Smart Card com certificados que foram emitidos pela autoridade de certificado externa.
- Você está exportando um certificado de um banco de dados NSS para um formato pkcs #12 que inclui tanto o certificado quanto a chave privada. Para maiores detalhes, veja Seção 40.3.1, “Exportação de um certificado e chave privada de um banco de dados NSS para um arquivo PKCS #12”.
40.1. Formatos e codificações de certificados na IdM
A autenticação do certificado incluindo a autenticação do cartão inteligente no IdM prossegue comparando o certificado que o usuário apresenta com o certificado, ou dados do certificado, que são armazenados no perfil de IdM do usuário.
Configuração do sistema
O que está armazenado no perfil do IdM é apenas o certificado, não a chave privada correspondente. Durante a autenticação, o usuário também deve mostrar que está de posse da chave privada correspondente. O usuário faz isso apresentando um arquivo PKCS #12 que contém tanto o certificado como a chave privada ou apresentando dois arquivos: um que contém o certificado e o outro que contém a chave privada.
Portanto, processos como carregar um certificado em um perfil de usuário só aceitam arquivos de certificado que não contenham a chave privada.
Da mesma forma, quando um administrador de sistema lhe fornece um certificado CA externo, ele fornecerá apenas os dados públicos: o certificado sem a chave privada. O utilitário ipa-advise para configurar o servidor IdM ou o cliente IdM para autenticação de cartão inteligente espera que o arquivo de entrada contenha o certificado da CA externa, mas não a chave privada.
Codificações de certificados
Há duas codificações comuns de certificados: Correio Eletrônico Privativo (PEM) e Regras de Codificação Distintas (DER). O formato base64 é quase idêntico ao formato PEM, mas não contém o cabeçalho e rodapé -----BEGIN CERTIFICATE-----/-----END CERTIFICATE-----.
Um certificado que foi codificado usando DER é um arquivo de certificado digital binário X509. Como um arquivo binário, o certificado não é legível por humanos. DER arquivos às vezes usam a extensão .der, mas arquivos com as extensões .crt e .cer também às vezes contêm certificados DER. DER arquivos contendo chaves podem ser nomeados .key.
Um certificado que foi codificado usando PEM Base64 é um arquivo legível por humanos. O arquivo contém dados blindados ASCII (Base64) prefixados com uma linha " .key BEGIN ...". PEM arquivos às vezes usam a extensão de nome de arquivo .pem, mas arquivos com as extensões de nome de arquivo .crt e .cer às vezes também contêm certificados PEM. PEM arquivos contendo chaves podem ser nomeados ----- .
Diferentes comandos ipa têm diferentes limitações em relação aos tipos de certificados que aceitam. Por exemplo, o comando ipa user-add-cert só aceita certificados codificados no formato base64, mas ipa-server-certinstall aceita PEM, DER, PKCS #7, PKCS #8 e PKCS #12 certificados.
| Formato de codificação | Legível para humanos | Extensões de nomes de arquivos comuns | Exemplo de comandos IdM aceitando o formato de codificação |
|---|---|---|---|
| PEM/base64 | Sim | .pem, .crt, .cer | ipa user-add-cert, ipa-server-certinstall, .. |
| DER | Não | .der, .crt, .cer | ipa-server-certinstall, .. |
Seção 40.4, “Comandos e formatos relacionados a certificados no IdM” lista ainda ipa comandos com os formatos de certificado que os comandos aceitam.
Autenticação do usuário
Ao utilizar a interface web para acessar o IdM, o usuário prova que está de posse da chave privada correspondente ao certificado, tendo ambas armazenadas no banco de dados do navegador.
Ao utilizar o CLI para acessar o IdM, o usuário prova que está de posse da chave privada correspondente ao certificado por um dos seguintes métodos:
O usuário acrescenta, como valor do parâmetro
X509_user_identitydo comandokinit -X, o caminho para o módulo smart card que está conectado ao smart card que contém tanto o certificado quanto a chave:kinit -X X509_user_identity='PKCS11:opensc-pkcs11.so' idm_user
$ kinit -X X509_user_identity='PKCS11:opensc-pkcs11.so' idm_userCopy to Clipboard Copied! Toggle word wrap Toggle overflow O usuário adiciona dois arquivos como os valores do parâmetro
X509_user_identitydo comandokinit -X, um contendo o certificado e o outro a chave privada:kinit -X X509_user_identity='FILE:`/path/to/cert.pem,/path/to/cert.key`' idm_user
$ kinit -X X509_user_identity='FILE:`/path/to/cert.pem,/path/to/cert.key`' idm_userCopy to Clipboard Copied! Toggle word wrap Toggle overflow
Comandos de certificados úteis
Para visualizar os dados do certificado, tais como o sujeito e o emissor:
openssl x509 -noout -text -in ca.pem
$ openssl x509 -noout -text -in ca.pemPara comparar em que linhas dois certificados diferem:
diff cert1.crt cert2.crt
$ diff cert1.crt cert2.crtPara comparar em quais linhas dois certificados diferem com a saída exibida em duas colunas:
diff cert1.crt cert2.crt -y
$ diff cert1.crt cert2.crt -y
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}