5.3. 请求和接收证书
如 第 5.1 节 “关于注册和续订证书” 所述,生成 CSR 后,需要将其提交到 CA 以获得颁发。第 5.2 节 “创建证书签名请求” 中讨论的一些方法直接向 CA 提交 CSR,有些方法则需要在单独的步骤中提交 CSR,这可由用户执行,或者由代理预签名。
在本节中,我们将讨论 RHCS CA 支持的单独提交步骤。
5.3.1. 通过最终用户页面请求和接收证书
在 CA End Entity Portal (i.e. https://host.domain:port114 /ca/ee/ca)中,最终实体可以使用 Enrollment/Renewal 选项卡下的 HTML 注册表单来提交其证书请求(CSR),请参阅 第 5.2 节 “创建证书签名请求”。
本节假设您有 Base64 编码格式的 CSR,包括标记行 -----BEGIN NEW CERTIFICATE REQUEST----- 和 -----END NEW CERTIFICATE REQUEST-----。
许多默认注册配置集都提供了一个证书请求文本框,其中可粘贴到 Base64 编码 CSR 中,以及 Certificate Request Type 选择下拉列表。
在证书注册表单中,输入所需信息。
标准要求如下:
- 证书请求类型。这是 PKCS the10 或 CRMF。通过子系统管理控制台创建的证书请求是 PKCS04710 ;那些通过 certutil 工具创建的证书请求通常是 PKCS the10。
- 证书请求.粘贴 base-64 编码 blob,包括 -----BEGIN NEW CERTIFICATE REQUEST----- 和 -----END NEW CERTIFICATE REQUEST----- 标记行。
- 请求者名称。这是请求证书的个人的常见名称。
- 请求者电子邮件.这是请求者的电子邮件地址。在签发证书时,代理或 CA 系统将使用此地址联系请求者。例如: jdoe@someCompany.com。
- 请求者电话.这是请求者的联系人电话号码。
提交的请求排队以进行代理批准。代理需要处理和批准证书请求。
注意
有些注册配置文件可能允许自动批准,如使用 Red Hat Certificate System 提供的 LDAP uid/pwd 身份验证方法。通过这些配置集注册在下一部分中不需要手动批准。有关支持的批准方法,请参阅 第 10 章 注册证书的身份验证。
如果是手动批准,则证书被批准并生成后,您可以检索证书。
- 打开 Certificate Manager 端到端页面,例如:
http
s://server.example.com:8443/ca/ee/ca - 点 Retrieval 选项卡。
- 填写提交证书请求时创建的请求 ID 号,然后单击 。
- 下一页显示证书请求的状态。如果状态 完成,则有指向证书的链接。点 Issued certificate 链接。
- 新证书信息以用户为print 格式显示,采用 base-64 编码格式,并且以 PKCS the7 格式显示。
可以通过此页面执行以下操作:- 要在服务器或其他应用程序上安装此证书,请在 Server 部分向下滚动到安装此证书,其中包含 base-64 编码证书。
- 将 base-64 编码证书(包括 -----BEGIN CERTIFICATE----- 和 -----END CERTIFICATE----- 标记行)复制到文本文件。保存文本文件,并使用它来将证书的副本存储在私钥所在的实体的安全模块中。请参阅 第 15.3.2.1 节 “创建用户”。
