45.4. Renovação do mestre de renovação da IdM CA com um certificado assinado externamente
Esta seção descreve como renovar o certificado de autoridade de gerenciamento de identidade (IdM) usando uma CA externa para assinar o pedido de assinatura de certificado (CSR). Nesta configuração, seu servidor IdM CA é uma subCA da CA externa. A CA externa pode, mas não precisa, ser um Servidor de Certificado do Active Directory (AD CS).
Se a autoridade externa do certificado for AD CS, você pode especificar no CSR o modelo que você deseja para o certificado da IdM CA. Um modelo de certificado define as políticas e regras que uma CA usa quando uma solicitação de certificado é recebida. Os modelos de certificado no AD correspondem aos modelos de certificado no IdM.
Você pode definir um modelo específico de AD CS por seu Identificador de Objeto (OID). Os OIDs são valores numéricos únicos emitidos por várias autoridades emissoras para identificar de forma única elementos de dados, sintaxe e outras partes de aplicações distribuídas.
Alternativamente, você pode definir um modelo específico de AD CS pelo seu nome. Por exemplo, o nome do perfil padrão usado em um CSR submetido por uma IDM CA a um AD CS é subCA
.
Para definir um perfil especificando seu OID ou nome na RSE, use a opção external-ca-profile
. Para detalhes, consulte a página de manual ipa-cacert-manage
.
Além de usar um modelo de certificado pronto, você também pode criar um modelo de certificado personalizado no AD CS, e usá-lo no CSR.
Pré-requisitos
- Você tem acesso root ao mestre de renovação da IdM CA.
- Você tem as credenciais do administrador da IdM.
Procedimento
Concluir este procedimento para renovar o certificado da IDM CA com assinatura externa, independentemente de o certificado atual da CA ser autoassinado ou assinado externamente.
Criar uma RSE a ser submetida à CA externa:
Se a CA externa for um AD CS, use a opção
--external-ca-type=ms-cs
. Se você quiser um modelo diferente do modelo padrãosubCA
, especifique-o usando a opção--external-ca-profile
:~]#
ipa-cacert-manage renew --external-ca --external-ca-type=ms-cs [--external-ca-profile=PROFILE]
Exporting CA certificate signing request, please wait The next step is to get /var/lib/ipa/ca.csr signed by your CA and re-run ipa-cacert-manage as: ipa-cacert-manage renew --external-cert-file=/path/to/signed_certificate --external-cert-file=/path/to/external_ca_certificate The ipa-cacert-manage command was successfulSe a CA externa não for um AD CS:
~]#
ipa-cacert-manage renew --external-ca
Exporting CA certificate signing request, please wait The next step is to get /var/lib/ipa/ca.csr signed by your CA and re-run ipa-cacert-manage as: ipa-cacert-manage renew --external-cert-file=/path/to/signed_certificate --external-cert-file=/path/to/external_ca_certificate The ipa-cacert-manage command was successfulA saída mostra que foi criada uma RSC e está armazenada no arquivo
/var/lib/ipa/ca.csr
.
-
Submeter a RSE localizada em
/var/lib/ipa/ca.csr
à CA externa. O processo difere dependendo do serviço a ser usado como a CA externa. Recuperar o certificado emitido e a cadeia de certificados da CA para a CA emissora em uma bolha codificada de base 64, que é:
- um arquivo PEM se a CA externa não for um AD CS.
um certificado Base_64 se a CA externa for um AD CS.
O processo difere para cada serviço de certificado. Normalmente, um link para download em uma página da web ou no e-mail de notificação permite ao administrador baixar todos os certificados exigidos.
Se a CA externa for um AD CS e você tiver submetido o CSR com um modelo conhecido através da janela de gerenciamento da Autoridade de Certificação Microsoft Windows, o AD CS emite o certificado imediatamente e o diálogo Salvar Certificado aparece na interface web do AD CS, perguntando onde salvar o certificado emitido.
Execute o comando
ipa-cacert-manage renew
novamente, adicionando todos os arquivos de certificados da CA necessários para fornecer uma cadeia completa de certificados. Especifique quantos arquivos você precisar, usando a opção--external-cert-file
várias vezes:~]#
ipa-cacert-manage renew --external-cert-file=/path/to/signed_certificate --external-cert-file=/path/to/external_ca_certificate_1 --external-cert-file=/path/to/external_ca_certificate_2
Em todos os servidores e clientes da IdM, atualizar os bancos de dados locais de certificados da IdM com os certificados do servidor:
[client ~]$ kinit admin [client ~]$ ipa-certupdate Systemwide CA database updated. Systemwide CA database updated. The ipa-certupdate command was successful
Opcionalmente, para verificar se sua atualização foi bem sucedida e o novo certificado da CA foi adicionado ao arquivo
/etc/ipa/ca.crt
:[client ~]$ openssl crl2pkcs7 -nocrl -certfile /etc/ipa/ca.crt | openssl pkcs7 -print_certs -text -noout [...] Certificate: Data: Version: 3 (0x2) Serial Number: 39 (0x27) Signature Algorithm: sha256WithRSAEncryption Issuer: O=IDM.EXAMPLE.COM, CN=Certificate Authority Validity Not Before: Jul 1 16:32:45 2019 GMT Not After : Jul 1 16:32:45 2039 GMT Subject: O=IDM.EXAMPLE.COM, CN=Certificate Authority [...]
A saída mostra que a atualização foi bem sucedida, uma vez que o novo certificado da CA é listado com os certificados mais antigos da CA.