主页
产品
Red Hat Enterprise Linux
10
管理 IdM 中的证书
24.2. 使用 certmonger 为服务获取 IdM 证书

24.2. 使用 certmonger 为服务获取 IdM 证书

为确保浏览器和身份管理(IdM)客户端上运行的 Web 服务之间的通信安全且加密，请使用 TLS 证书。从 IdM 证书颁发机构(CA)获取您的 Web 服务的 TLS 证书。

按照以下流程，使用 certmonger 获取在 IdM 客户端上运行的服务(HTTP/my_company.idm.example.com@IDM.EXAMPLE.COM)的 IdM 证书。

使用 证书监控 器自动请求证书意味着，certmonger 在到期需要续订时管理和续订证书。

有关 certmonger 请求服务证书时发生的情况的可视化表示，请参阅请求服务证书的 certmonger 的通信流。

先决条件

Web 服务器已注册为 IdM 客户端。
您有正在运行的 IdM 客户端的 root 访问权限。
请求证书的服务不必在 IdM 中预先存在。

流程

在运行 HTTP 服务的 my_company.idm.example.com IdM 客户端中，请求与 HTTP/my_company.idm.example.com@IDM.EXAMPLE.COM 主体对应的服务的证书，并指定：
- 证书将存储在本地 /etc/pki/tls/certs/httpd.pem 文件中
- 私钥存储在本地 /etc/pki/tls/private/httpd.key 文件中
- 将 SubjectAltName 的 extensionRequest 添加到签名请求中，其 DNS 名称为 my_company.idm.example.com ：
  # ipa-getcert request -K HTTP/my_company.idm.example.com -k /etc/pki/tls/private/httpd.key -f /etc/pki/tls/certs/httpd.pem -g 2048 -D my_company.idm.example.com -C "systemctl restart httpd" New signing request "20190604065735" added.
  Copy to Clipboard Toggle word wrap
  在以上命令中：
  - ipa-getcert request 命令指定要从 IdM CA 获取证书。ipa-getcert request 命令是 getcert request -c IPA 的快捷方式。
  - g 选项指定要生成的密钥的大小（如果尚未到位）。
  - D 选项指定 要添加到请求的 SubjectAltName DNS 值。
  - C 选项 指示 certmonger 在获取证书后重新启动 httpd 服务。
  - 要指定证书与特定的配置集一起发布，请使用 -T 选项。
  - 要使用指定的 CA 中的指定签发者请求证书，请使用 -X ISSUER 选项。

可选：要检查请求的状态：

ipa-getcert list -f /etc/pki/tls/certs/httpd.pem

# ipa-getcert list -f /etc/pki/tls/certs/httpd.pem
Number of certificates and requests being tracked: 3.
Request ID '20190604065735':
    status: MONITORING
    stuck: no
    key pair storage: type=FILE,location='/etc/pki/tls/private/httpd.key'
    certificate: type=FILE,location='/etc/pki/tls/certs/httpd.crt'
    CA: IPA
[...]

Copy to Clipboard

Toggle word wrap

输出显示请求处于 MONITORING 状态，这表示已获取了证书。密钥对和证书的位置是请求的位置。

返回顶部

24.2. 使用 certmonger 为服务获取 IdM 证书

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links