Início
Produtos
Red Hat Enterprise Linux
8
Configuração e gerenciamento da Gestão de Identidade
39.3. Solicitação de novos certificados para um usuário, host ou serviço da IdM CA usando o openssl

39.3. Solicitação de novos certificados para um usuário, host ou serviço da IdM CA usando o openssl

Você pode usar o utilitário openssl para solicitar um certificado para um host ou serviço de Gerenciamento de Identidade (IdM) se quiser garantir que o Kerberos alias do host ou serviço possa usar o certificado. Em situações padrão, considere a possibilidade de solicitar um novo certificado usando o utilitário certutil em seu lugar.

Esta seção descreve como solicitar um certificado para um host da IdM, ou serviço da ipa, a autoridade certificadora da IdM, usando openssl.

Importante

Os serviços normalmente são executados em nós de serviço dedicados nos quais as chaves privadas são armazenadas. A cópia da chave privada de um serviço para o servidor da IdM é considerada insegura. Portanto, ao solicitar um certificado para um serviço, crie a solicitação de assinatura de certificado (CSR) no nó de serviço.

Pré-requisitos

Sua implantação de IdM contém uma CA integrada.
Você está logado na interface de linha de comando do IdM (CLI) como administrador do IdM.

Procedimento

Crie um ou mais pseudônimos para seu Kerberos principal test/server.example.com. Por exemplo, test1/server.example.com e test2/server.example.com.
No CSR, adicionar um assuntoAltName para dnsName (server.example.com) e outroName (test2/server.example.com). Para isso, configure o arquivo openssl.conf para incluir a seguinte linha especificando o UPN otherName e o subjectAltName:
```
otherName=1.3.6.1.4.1.311.20.2.3;UTF8:test2/server.example.com@EXAMPLE.COM
DNS.1 = server.example.com
```
```
otherName=1.3.6.1.4.1.311.20.2.3;UTF8:test2/server.example.com@EXAMPLE.COM
DNS.1 = server.example.com
```
Copy to Clipboard Toggle word wrap

Crie um pedido de certificado usando openssl:

openssl req -new -newkey rsa:2048 -keyout test2service.key -sha256 -nodes -out certificate_request.csr -config openssl.conf

openssl req -new -newkey rsa:2048 -keyout test2service.key -sha256 -nodes -out certificate_request.csr -config openssl.conf

Copy to Clipboard

Toggle word wrap

Enviar o arquivo de pedido de certificado para a CA em execução no servidor da IdM. Especificar o Kerberos principal a ser associado com o certificado recém-emitido:
```
ipa cert-request certificate_request.csr --principal=host/server.example.com
```
```
# ipa cert-request certificate_request.csr --principal=host/server.example.com
```
Copy to Clipboard Toggle word wrap
O comando ipa cert-request no IdM usa os seguintes padrões:
- O perfil do certificado caIPAserviceCert
  Para selecionar um perfil personalizado, use a opção --profile-id.
- A raiz integrada da IdM CA, ipa
  Para selecionar uma sub-CA, use a opção --ca.

Recursos adicionais

Para mais informações sobre o comando ipa cert-request, veja a saída do comando ipa cert-request --help.
Para mais informações sobre a criação de um perfil de certificado personalizado, consulte Criação e gerenciamento de perfis de certificado em Gerenciamento de Identidade.

Voltar ao topo

39.3. Solicitação de novos certificados para um usuário, host ou serviço da IdM CA usando o openssl

Aprender

Experimente, compre e venda

Comunidades

Sobre a documentação da Red Hat

Tornando o open source mais inclusivo

Sobre a Red Hat

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links