41.2. Criação de um perfil de certificado
Este procedimento descreve como criar um perfil de certificado através da linha de comando, criando um arquivo de configuração de perfil para solicitar certificados S/MIME.
Procedimento
Criar um perfil personalizado, copiando um perfil padrão existente:
$ ipa certprofile-show --out smime.cfg caIPAserviceCert ------------------------------------------------ Profile configuration stored in file 'smime.cfg' ------------------------------------------------ Profile ID: caIPAserviceCert Profile description: Standard profile for network services Store issued certificates: TRUE
Abra o arquivo de configuração de perfil recém-criado em um editor de texto.
$ vi smime.cfg
Mude o
Profile ID
para um nome que reflita o uso do perfil, por exemplosmime
.NotaQuando você estiver importando um perfil recém-criado, o campo
profileId
, se presente, deve corresponder ao ID especificado na linha de comando.Atualizar a configuração de uso estendido da chave. A configuração padrão da Extended Key Usage Extension é para autenticação de servidor e cliente TLS. Por exemplo, para S/MIME, a configuração da Extended Key Usage deve ser configurada para proteção de e-mail:
policyset.serverCertSet.7.default.params.exKeyUsageOIDs=1.3.6.1.5.5.7.3.4
Importar o novo perfil:
$ ipa certprofile-import smime --file smime.cfg \ --desc "S/MIME certificates" --store TRUE ------------------------ Imported profile "smime" ------------------------ Profile ID: smime Profile description: S/MIME certificates Store issued certificates: TRUE
Etapas de verificação
Verificar se o novo modelo de certificado foi importado:
$ ipa certprofile-find ------------------ 4 profiles matched ------------------ Profile ID: caIPAserviceCert Profile description: Standard profile for network services Store issued certificates: TRUE Profile ID: IECUserRoles Profile description: User profile that includes IECUserRoles extension from request Store issued certificates: TRUE Profile ID: KDCs_PKINIT_Certs Profile description: Profile for PKINIT support by KDCs Store issued certificates: TRUE Profile ID: smime Profile description: S/MIME certificates Store issued certificates: TRUE ---------------------------- Number of entries returned 4 ----------------------------
Recursos adicionais
-
Para obter detalhes sobre o plug-in
certprofile
, execute o comandoipa help certprofile
. - Para mais informações sobre a extensão do uso da chave estendida, veja RFC 5280, seção 4.2.1.12.