41.5. Usando perfis de certificados e ACLs CA para emitir certificados
Você pode solicitar certificados usando um perfil de certificado quando permitido pelas listas de controle de acesso da Autoridade de Certificados (CA ACLs). Este procedimento descreve como solicitar um certificado S/MIME para um usuário usando um modelo de certificado personalizado que foi concedido acesso através de uma CA ACL.
Pré-requisitos
- Seu perfil de certificado foi criado.
- Foi criado um CA ACL que permite ao usuário utilizar o perfil de certificado exigido para solicitar um certificado.
Você pode contornar a verificação ACL CA se o usuário executa o comando cert-request
:
-
É o usuário
admin
. -
Tem a permissão
Request Certificate ignoring CA ACLs
.
Procedimento
Gerar um pedido de certificado para o usuário. Por exemplo, utilizando o OpenSSL:
$ openssl req -new -newkey rsa:2048 -days 365 -nodes -keyout private.key -out cert.csr -subj '/CN=smime_user'
Solicite um novo certificado para o usuário da IdM CA:
$ ipa cert-request cert.csr --principal=smime_user --profile-id=smime
Opcionalmente, passe a opção --ca sub-CA_name para o comando para solicitar o certificado de um sub-CA em vez da CA raiz.
Etapas de verificação
Verificar se o certificado recém-emitido está atribuído ao usuário:
$ ipa user-show user User login: user ... Certificate: MIICfzCCAWcCAQA... ...
Recursos adicionais
-
Consulte a página
ipa(a)
man page. -
Para mais detalhes sobre o comando
ipa user-show
, consulte o comandoipa help user-show
. -
Para mais detalhes sobre o comando
ipa cert-request
, consulte o comandoipa help cert-request
. -
Consulte a página
openssl(lssl)
man page.