18.2. 使用 certmonger 为服务获取 IdM 证书

流程

1. 在运行 HTTP 服务的 my_company.idm.example.com IdM 客户端中，请求与 HTTP/my_company.idm.example.com@IDM.EXAMPLE.COM 主体对应的服务的证书，并指定：

   • 证书将存储在本地 /etc/pki/tls/certs/httpd.pem 文件中
   • 私钥存储在本地 /etc/pki/tls/private/httpd.key 文件中

   • 将 SubjectAltName 的 extensionRequest 添加到签名请求中，其 DNS 名称为 my_company.idm.example.com ：

     # ipa-getcert request -K HTTP/my_company.idm.example.com -k /etc/pki/tls/private/httpd.key -f /etc/pki/tls/certs/httpd.pem -g 2048 -D my_company.idm.example.com -C "systemctl restart httpd"
     New signing request "20190604065735" added.

     Copy to Clipboard Toggle word wrap

     在以上命令中：

     • ipa-getcert request 命令指定要从 IdM CA 获取证书。ipa-getcert request 命令是 getcert request -c IPA 的快捷方式。
     • g 选项指定要生成的密钥的大小（如果尚未到位）。
     • D 选项指定 要添加到请求的 SubjectAltName DNS 值。
     • C 选项 指示 certmonger 在获取证书后重新启动 httpd 服务。
     • 要指定证书与特定的配置集一起发布，请使用 -T 选项。
     • 要使用指定的 CA 中的指定签发者请求证书，请使用 -X ISSUER 选项。
     注意

     RHEL 8 在 Apache 中使用与 RHEL 7 中使用的不同的 SSL 模块。SSL 模块依赖于 OpenSSL 而不是 NSS。因此，在 RHEL 8 中，您无法使用 NSS 数据库存储 HTTPS 证书和私钥。

2. 可选：检查请求的状态：

   # ipa-getcert list -f /etc/pki/tls/certs/httpd.pem
   Number of certificates and requests being tracked: 3.
   Request ID '20190604065735':
       status: MONITORING
       stuck: no
       key pair storage: type=FILE,location='/etc/pki/tls/private/httpd.key'
       certificate: type=FILE,location='/etc/pki/tls/certs/httpd.crt'
       CA: IPA
   [...]

   Copy to Clipboard Toggle word wrap

   输出显示请求处于 MONITOR ING 状态，这表示已获取了证书。密钥对和证书的位置是请求的位置。