Pesquisar

45.4. Renovação do mestre de renovação da IdM CA com um certificado assinado externamente

download PDF

Esta seção descreve como renovar o certificado de autoridade de gerenciamento de identidade (IdM) usando uma CA externa para assinar o pedido de assinatura de certificado (CSR). Nesta configuração, seu servidor IdM CA é uma subCA da CA externa. A CA externa pode, mas não precisa, ser um Servidor de Certificado do Active Directory (AD CS).

Se a autoridade externa do certificado for AD CS, você pode especificar no CSR o modelo que você deseja para o certificado da IdM CA. Um modelo de certificado define as políticas e regras que uma CA usa quando uma solicitação de certificado é recebida. Os modelos de certificado no AD correspondem aos modelos de certificado no IdM.

Você pode definir um modelo específico de AD CS por seu Identificador de Objeto (OID). Os OIDs são valores numéricos únicos emitidos por várias autoridades emissoras para identificar de forma única elementos de dados, sintaxe e outras partes de aplicações distribuídas.

Alternativamente, você pode definir um modelo específico de AD CS pelo seu nome. Por exemplo, o nome do perfil padrão usado em um CSR submetido por uma IDM CA a um AD CS é subCA.

Para definir um perfil especificando seu OID ou nome na RSE, use a opção external-ca-profile. Para detalhes, consulte a página de manual ipa-cacert-manage.

Além de usar um modelo de certificado pronto, você também pode criar um modelo de certificado personalizado no AD CS, e usá-lo no CSR.

Pré-requisitos

  • Você tem acesso root ao mestre de renovação da IdM CA.
  • Você tem as credenciais do administrador da IdM.

Procedimento

Concluir este procedimento para renovar o certificado da IDM CA com assinatura externa, independentemente de o certificado atual da CA ser autoassinado ou assinado externamente.

  1. Criar uma RSE a ser submetida à CA externa:

    • Se a CA externa for um AD CS, use a opção --external-ca-type=ms-cs. Se você quiser um modelo diferente do modelo padrão subCA, especifique-o usando a opção --external-ca-profile:

      ~]# ipa-cacert-manage renew --external-ca --external-ca-type=ms-cs [--external-ca-profile=PROFILE]
      Exporting CA certificate signing request, please wait
      The next step is to get /var/lib/ipa/ca.csr signed by your CA and re-run ipa-cacert-manage as:
      ipa-cacert-manage renew --external-cert-file=/path/to/signed_certificate --external-cert-file=/path/to/external_ca_certificate
      The ipa-cacert-manage command was successful
    • Se a CA externa não for um AD CS:

      ~]# ipa-cacert-manage renew --external-ca
      Exporting CA certificate signing request, please wait
      The next step is to get /var/lib/ipa/ca.csr signed by your CA and re-run ipa-cacert-manage as:
      ipa-cacert-manage renew --external-cert-file=/path/to/signed_certificate --external-cert-file=/path/to/external_ca_certificate
      The ipa-cacert-manage command was successful

      A saída mostra que foi criada uma RSC e está armazenada no arquivo /var/lib/ipa/ca.csr.

  2. Submeter a RSE localizada em /var/lib/ipa/ca.csr à CA externa. O processo difere dependendo do serviço a ser usado como a CA externa.
  3. Recuperar o certificado emitido e a cadeia de certificados da CA para a CA emissora em uma bolha codificada de base 64, que é:

    • um arquivo PEM se a CA externa não for um AD CS.
    • um certificado Base_64 se a CA externa for um AD CS.

      O processo difere para cada serviço de certificado. Normalmente, um link para download em uma página da web ou no e-mail de notificação permite ao administrador baixar todos os certificados exigidos.

      Se a CA externa for um AD CS e você tiver submetido o CSR com um modelo conhecido através da janela de gerenciamento da Autoridade de Certificação Microsoft Windows, o AD CS emite o certificado imediatamente e o diálogo Salvar Certificado aparece na interface web do AD CS, perguntando onde salvar o certificado emitido.

  4. Execute o comando ipa-cacert-manage renew novamente, adicionando todos os arquivos de certificados da CA necessários para fornecer uma cadeia completa de certificados. Especifique quantos arquivos você precisar, usando a opção --external-cert-file várias vezes:

    ~]# ipa-cacert-manage renew --external-cert-file=/path/to/signed_certificate --external-cert-file=/path/to/external_ca_certificate_1 --external-cert-file=/path/to/external_ca_certificate_2
  5. Em todos os servidores e clientes da IdM, atualizar os bancos de dados locais de certificados da IdM com os certificados do servidor:

    [client ~]$ kinit admin
    [client ~]$ ipa-certupdate
    Systemwide CA database updated.
    Systemwide CA database updated.
    The ipa-certupdate command was successful
  6. Opcionalmente, para verificar se sua atualização foi bem sucedida e o novo certificado da CA foi adicionado ao arquivo /etc/ipa/ca.crt:

    [client ~]$ openssl crl2pkcs7 -nocrl -certfile /etc/ipa/ca.crt | openssl pkcs7 -print_certs -text -noout
    [...]
    Certificate:
        Data:
            Version: 3 (0x2)
            Serial Number: 39 (0x27)
            Signature Algorithm: sha256WithRSAEncryption
            Issuer: O=IDM.EXAMPLE.COM, CN=Certificate Authority
            Validity
                Not Before: Jul  1 16:32:45 2019 GMT
                Not After : Jul  1 16:32:45 2039 GMT
            Subject: O=IDM.EXAMPLE.COM, CN=Certificate Authority
    [...]

    A saída mostra que a atualização foi bem sucedida, uma vez que o novo certificado da CA é listado com os certificados mais antigos da CA.

Red Hat logoGithubRedditYoutubeTwitter

Aprender

Experimente, compre e venda

Comunidades

Sobre a documentação da Red Hat

Ajudamos os usuários da Red Hat a inovar e atingir seus objetivos com nossos produtos e serviços com conteúdo em que podem confiar.

Tornando o open source mais inclusivo

A Red Hat está comprometida em substituir a linguagem problemática em nosso código, documentação e propriedades da web. Para mais detalhes veja oBlog da Red Hat.

Sobre a Red Hat

Fornecemos soluções robustas que facilitam o trabalho das empresas em plataformas e ambientes, desde o data center principal até a borda da rede.

© 2024 Red Hat, Inc.