Pesquisar

39.3. Solicitação de novos certificados para um usuário, host ou serviço da IdM CA usando o openssl

download PDF

Você pode usar o utilitário openssl para solicitar um certificado para um host ou serviço de Gerenciamento de Identidade (IdM) se quiser garantir que o Kerberos alias do host ou serviço possa usar o certificado. Em situações padrão, considere a possibilidade de solicitar um novo certificado usando o utilitário certutil em seu lugar.

Esta seção descreve como solicitar um certificado para um host da IdM, ou serviço da ipa, a autoridade certificadora da IdM, usando openssl.

Importante

Os serviços normalmente são executados em nós de serviço dedicados nos quais as chaves privadas são armazenadas. A cópia da chave privada de um serviço para o servidor da IdM é considerada insegura. Portanto, ao solicitar um certificado para um serviço, crie a solicitação de assinatura de certificado (CSR) no nó de serviço.

Pré-requisitos

  • Sua implantação de IdM contém uma CA integrada.
  • Você está logado na interface de linha de comando do IdM (CLI) como administrador do IdM.

Procedimento

  1. Crie um ou mais pseudônimos para seu Kerberos principal test/server.example.com. Por exemplo, test1/server.example.com e test2/server.example.com.
  2. No CSR, adicionar um assuntoAltName para dnsName (server.example.com) e outroName (test2/server.example.com). Para isso, configure o arquivo openssl.conf para incluir a seguinte linha especificando o UPN otherName e o subjectAltName:

    otherName=1.3.6.1.4.1.311.20.2.3;UTF8:test2/server.example.com@EXAMPLE.COM
    DNS.1 = server.example.com
  3. Crie um pedido de certificado usando openssl:

    openssl req -new -newkey rsa:2048 -keyout test2service.key -sha256 -nodes -out certificate_request.csr -config openssl.conf
  4. Enviar o arquivo de pedido de certificado para a CA em execução no servidor da IdM. Especificar o Kerberos principal a ser associado com o certificado recém-emitido:

    # ipa cert-request certificate_request.csr --principal=host/server.example.com

    O comando ipa cert-request no IdM usa os seguintes padrões:

    • O perfil do certificado caIPAserviceCert

      Para selecionar um perfil personalizado, use a opção --profile-id.

    • A raiz integrada da IdM CA, ipa

      Para selecionar uma sub-CA, use a opção --ca.

Recursos adicionais

Red Hat logoGithubRedditYoutubeTwitter

Aprender

Experimente, compre e venda

Comunidades

Sobre a documentação da Red Hat

Ajudamos os usuários da Red Hat a inovar e atingir seus objetivos com nossos produtos e serviços com conteúdo em que podem confiar.

Tornando o open source mais inclusivo

A Red Hat está comprometida em substituir a linguagem problemática em nosso código, documentação e propriedades da web. Para mais detalhes veja oBlog da Red Hat.

Sobre a Red Hat

Fornecemos soluções robustas que facilitam o trabalho das empresas em plataformas e ambientes, desde o data center principal até a borda da rede.

© 2024 Red Hat, Inc.