39.2. Solicitação de novos certificados para um usuário, host ou serviço da IdM CA usando certutil
Você pode usar o utilitário certutil
para solicitar um certificado para um usuário, host ou serviço de Gerenciamento de Identidade (IdM) em situações padrão de IdM. Para garantir que um host ou serviço Kerberos possa usar um certificado, use o utilitário openssl para solicitar um certificado em seu lugar.
Esta seção descreve como solicitar um certificado para um usuário, host ou serviço da IdM a ipa
, a autoridade certificadora da IdM (CA), usando certutil
.
Os serviços normalmente são executados em nós de serviço dedicados nos quais as chaves privadas são armazenadas. A cópia da chave privada de um serviço para o servidor da IdM é considerada insegura. Portanto, ao solicitar um certificado para um serviço, crie a solicitação de assinatura de certificado (CSR) no nó de serviço.
Pré-requisitos
- Sua implantação de IdM contém uma CA integrada.
- Você está logado na interface de linha de comando do IdM (CLI) como administrador do IdM.
Procedimento
Criar um diretório temporário para o banco de dados de certificados:
# mkdir ~/certdb/
Criar um novo banco de dados de certificados temporários, por exemplo:
# certutil -N -d ~/certdb/
Criar o CSR e redirecionar a saída para um arquivo. Por exemplo, para criar um CSR para um certificado de 4096 bit e para definir o assunto para CN=server.example.com,O=EXAMPLE.COM:
# certutil -R -d ~/certdb/ -a -g 4096 -s "CN=server.example.com,O=EXAMPLE.COM-8 server.example.com > certificate_request.csr
Enviar o arquivo de pedido de certificado para a CA em execução no servidor da IdM. Especificar o Kerberos principal a ser associado com o certificado recém-emitido:
# ipa cert-request certificate_request.csr --principal=host/server.example.com
O comando
ipa cert-request
no IdM usa os seguintes padrões:O perfil do certificado
caIPAserviceCert
Para selecionar um perfil personalizado, use a opção
--profile-id
.A raiz integrada da IdM CA,
ipa
Para selecionar uma sub-CA, use a opção
--ca
.
Recursos adicionais
-
Para mais informações sobre o comando
ipa cert-request
, veja a saída do comandoipa cert-request --help
. - Para mais informações sobre a criação de um perfil de certificado personalizado, consulte Criação e gerenciamento de perfis de certificado em Gerenciamento de Identidade.