39.3. Solicitação de novos certificados para um usuário, host ou serviço da IdM CA usando o openssl
Você pode usar o utilitário openssl
para solicitar um certificado para um host ou serviço de Gerenciamento de Identidade (IdM) se quiser garantir que o Kerberos alias do host ou serviço possa usar o certificado. Em situações padrão, considere a possibilidade de solicitar um novo certificado usando o utilitário certutil em seu lugar.
Esta seção descreve como solicitar um certificado para um host da IdM, ou serviço da ipa
, a autoridade certificadora da IdM, usando openssl
.
Os serviços normalmente são executados em nós de serviço dedicados nos quais as chaves privadas são armazenadas. A cópia da chave privada de um serviço para o servidor da IdM é considerada insegura. Portanto, ao solicitar um certificado para um serviço, crie a solicitação de assinatura de certificado (CSR) no nó de serviço.
Pré-requisitos
- Sua implantação de IdM contém uma CA integrada.
- Você está logado na interface de linha de comando do IdM (CLI) como administrador do IdM.
Procedimento
- Crie um ou mais pseudônimos para seu Kerberos principal test/server.example.com. Por exemplo, test1/server.example.com e test2/server.example.com.
No CSR, adicionar um assuntoAltName para dnsName (server.example.com) e outroName (test2/server.example.com). Para isso, configure o arquivo
openssl.conf
para incluir a seguinte linha especificando o UPN otherName e o subjectAltName:otherName=1.3.6.1.4.1.311.20.2.3;UTF8:test2/server.example.com@EXAMPLE.COM DNS.1 = server.example.com
Crie um pedido de certificado usando
openssl
:openssl req -new -newkey rsa:2048 -keyout test2service.key -sha256 -nodes -out certificate_request.csr -config openssl.conf
Enviar o arquivo de pedido de certificado para a CA em execução no servidor da IdM. Especificar o Kerberos principal a ser associado com o certificado recém-emitido:
# ipa cert-request certificate_request.csr --principal=host/server.example.com
O comando
ipa cert-request
no IdM usa os seguintes padrões:O perfil do certificado
caIPAserviceCert
Para selecionar um perfil personalizado, use a opção
--profile-id
.A raiz integrada da IdM CA,
ipa
Para selecionar uma sub-CA, use a opção
--ca
.
Recursos adicionais
-
Para mais informações sobre o comando
ipa cert-request
, veja a saída do comandoipa cert-request --help
. - Para mais informações sobre a criação de um perfil de certificado personalizado, consulte Criação e gerenciamento de perfis de certificado em Gerenciamento de Identidade.