24.2. 管理由外部 CA 发布的证书
24.2.1. 命令行:添加和删除由外部 CA 发布的证书
为用户、主机或服务添加证书:
- ipa user-add-cert
- ipa host-add-cert
- ipa service-add-cert
从用户、主机或服务中删除证书:
- ipa user-remove-cert
- ipa host-remove-cert
- ipa service-remove-cert
从 IdM 中删除外部 CA 发布的证书后,不会撤销它。这是因为证书没有存在于 IdM CA 数据库中。您只能从外部 CA 端手动撤销这些证书。
这些命令需要您指定以下信息:
- 用户、主机或服务的名称
- Base64 编码的 DER 证书
要以交互方式运行命令,请在不添加任何选项的情况下执行这些命令。
要直接通过 命令提供所需的信息,请使用命令行参数和选项:
$ ipa user-add-cert user --certificate=MIQTPrajQAwg...
注意
您可以将证书转换为 DER 格式,然后重新编码为 base64,而不是将证书复制并粘贴到命令行中。例如,要将
user_cert.pem
证书添加到 user
:
$ ipa user-add-cert user --certificate="$(openssl x509 -outform der -in user_cert.pem | base64 -w 0)"
24.2.2. Web UI:添加和删除由外部 CA 发布的证书
为用户、主机或服务添加证书:
- 打开 Identity 选项卡,然后选择 Users、Hosts 或 Services 子选项卡。
- 单击用户、主机或服务的名称以打开其配置页面。
- 单击 Certificates 条目旁边的 。
图 24.4. 添加证书到用户帐户
- 将 Base64 或 PEM 编码格式的证书粘贴到文本字段中,然后单击。
- 单击以保存更改。
从用户、主机或服务中删除证书:
- 打开 Identity 选项卡,然后选择 Users、Hosts 或 Services 子选项卡。
- 单击用户、主机或服务的名称以打开其配置页面。
- 单击要删除的证书旁边的,然后选择 。
- 单击以保存更改。