红帽全球峰会18.2. 通过控制台请求证书
CA、IADP、KRA 和 TKS 的证书设置向导自动执行子系统证书的证书注册过程。控制台可以为该子系统使用的任何证书创建、提交和安装证书。这些证书可以是服务器证书或特定于子系统的证书,如 CA 签名证书或 KRA 传输证书。
18.2.1. 请求签名证书
用户必须从稍后用于访问子系统的计算机生成和提交客户端请求,因为请求进程的一部分在本地计算机上生成私钥。如果需要位置 independence,请使用硬件令牌(如智能卡)来存储密钥对和证书。
打开子系统控制台。例如:
pkiconsole https://server.example.com:8443/ca
pkiconsole https://server.example.com:8443/caCopy to Clipboard Copied! Toggle word wrap Toggle overflow 注意pkiconsole已被弃用。- 在 Configuration 选项卡中,选择导航树中的 System Keys 和 Certificates。
- 在右侧面板中,选择 Local Certificates 选项卡。
单击 。
- 选择 Request a certificate 单选按钮。
选择要请求的签名证书类型。
- 选择哪个类型的 CA 将为请求签名,可以是 root CA 或从属 CA。
设置密钥对信息并设置位置来生成密钥(令牌),可以是内部安全数据库目录,也可以是列出的外部令牌之一。
若要创建新证书,您必须创建一个新密钥对。使用现有密钥对将只续订现有证书。
选择消息摘要算法。
指定主题名称。为单个 DN 属性输入值来构建主题 DN 或输入完整的字符串。
证书请求表单支持通用名称、机构单元和请求名称字段的所有 UTF-8 字符。
这个支持不包括支持国际化域名。
指定证书的有效期的开始和结束日期,以及有效期将在这些日期开始和结束的时间。
默认有效期为五年。
为证书设置标准扩展。默认会选择所需的扩展。要更改默认选择,请参阅 附录 B, 证书和 CRL 的默认值、约束和扩展 中所述的指南。
注意设置 CA 层次结构需要证书扩展。子 CA 必须具有证书,其中包括将其识别为从属 SSL CA (允许它们为 SSL CA 发布证书)或从属电子邮件 CA (允许它们为安全电子邮件 CA 发布证书的扩展)。禁用证书扩展意味着无法设置 CA 层次结构。
- 基本限制。相关的字段是 CA 设置以及认证路径长度的数字设置。
- 扩展的密钥用法.
- 颁发机构密钥标识符。
- 主题密钥标识符。
- 密钥用法.数字签名(以 0 位)、非代表(位 1)、密钥证书签名(以 5 位)和 CRL 符号(以 6 位)位被默认设置。该扩展被标记为 PKIX 标准和 RFC 2459 建议的关键。有关 Key Usage 扩展的描述,请参阅 RFC 2459。
扩展的 base-64 SEQUENCE。这适用于自定义扩展。将 MIME 64 DER 编码格式的扩展粘贴到文本字段中。
要添加多个扩展,请使用
ExtJoiner程序。有关使用工具的详情,请参考 证书系统命令行工具指南。
向导生成密钥对并显示证书签名请求。
请求采用 base-64 编码的 PKCS #10 格式,并由标记行
-----BEGIN NEW CERTIFICATE REQUEST-----和-----END NEW CERTIFICATE REQUEST-----绑定。例如:Copy to Clipboard Copied! Toggle word wrap Toggle overflow 向导还会将证书请求复制到其在配置目录中创建的文本文件中,该文件位于
/var/lib/pki/ instance_name/subsystem_type/conf/中。文本文件的名称取决于请求的证书类型。下表中列出了可能的文本文件。Expand 表 18.1. 为证书签名请求创建的文件 filename 证书签名请求 cacsr.txt
CA 签名证书
ocspcsr.txt
证书管理器 OCSP 签名证书
ocspcsr.txt
OCSP 签名证书
在将证书请求发送到 CA 之前,不要修改证书请求。可以通过向导自动提交请求,或复制到剪贴板,并通过其终端实体页面手动提交到 CA。
注意向导的 auto-submission 功能只能将请求提交到远程证书管理器。它不能用于将请求提交到第三方 CA。要将它提交到第三方 CA,请使用证书请求文件。
检索证书。
打开 证书管理器结束实体页面。
https://server.example.com:8443/ca/ee/ca
https://server.example.com:8443/ca/ee/caCopy to Clipboard Copied! Toggle word wrap Toggle overflow - 点 Retrieval 选项卡。
- 填写提交证书请求时创建的请求 ID 号,然后单击 。
下一页显示证书请求的状态。如果状态
完成,则有一个证书的链接。点 Issued 证书 链接。新证书信息以用户为print 格式显示,采用 base-64 编码格式,并且以 PKCS the7 格式显示。
-
将 base-64 编码证书(包括
-----BEGIN CERTIFICATE-----和-----END CERTIFICATE-----marker 行)复制到文本文件。保存文本文件,并使用它来将证书副本存储在子系统的内部数据库中。请参阅 第 16.3.2.1 节 “创建用户”。
18.2.2. 请求其他证书
用户从稍后使用的计算机生成并提交客户端请求非常重要,因为请求进程的一部分在本地计算机上生成私钥。如果需要位置 independence,请使用硬件令牌(如智能卡)来存储密钥对和证书。
打开子系统控制台。例如:
pkiconsole https://server.example.com:8443/ca
pkiconsole https://server.example.com:8443/caCopy to Clipboard Copied! Toggle word wrap Toggle overflow 注意pkiconsole已被弃用- 在 Configuration 选项卡中,选择导航树中的 System Keys 和 Certificates。
- 在右侧面板中,选择 Local Certificates 选项卡。
单击 。
- 选择 Request a certificate 单选按钮。
选择要请求的证书类型。可以请求的证书类型因子系统而异。
注意如果选择创建"其他"证书,证书类型字段 将变为活动状态。填写要创建的证书类型,可以是 CRL 签名证书的
caCrlSigning,对于审计日志签名证书的caSignedLogCert,或用于SSL 客户端证书的客户端。- 选择哪个类型的 CA 将为请求签名。这些选项是使用本地 CA 签名证书,或者创建请求来提交到另一个 CA。
设置密钥对信息并设置位置来生成密钥(令牌),可以是内部安全数据库目录,也可以是列出的外部令牌之一。
若要创建新证书,您必须创建一个新密钥对。使用现有密钥对将只续订现有证书。
指定主题名称。为单个 DN 属性输入值来构建主题 DN 或输入完整的字符串。
注意对于 SSL 服务器证书,通用名称必须是证书系统的完全限定域名,格式为 machine_name.domain.domain。
CA 证书请求表单支持通用名称、机构单元和请求名称字段的所有 UTF-8 字符。
这个支持不包括支持国际化域名。
指定证书的有效期的开始和结束日期,以及有效期将在这些日期开始和结束的时间。
默认有效期为五年。
为证书设置标准扩展。默认会选择所需的扩展。要更改默认选择,请参阅 附录 B, 证书和 CRL 的默认值、约束和扩展 中所述的指南。
- 扩展的密钥用法.
- 颁发机构密钥标识符。
- 主题密钥标识符。
- 密钥用法.数字签名(以 0 位)、非代表(位 1)、密钥证书签名(以 5 位)和 CRL 符号(以 6 位)位被默认设置。该扩展被标记为 PKIX 标准和 RFC 2459 建议的关键。有关 Key Usage 扩展的描述,请参阅 RFC 2459。
扩展的 base-64 SEQUENCE。这适用于自定义扩展。将 MIME 64 DER 编码格式的扩展粘贴到文本字段中。
要添加多个扩展,请使用
ExtJoiner程序。有关使用工具的详情,请参考 证书系统命令行工具指南。
向导生成密钥对并显示证书签名请求。
请求采用 base-64 编码的 PKCS #10 格式,并由标记行
-----BEGIN NEW CERTIFICATE REQUEST-----和-----END NEW CERTIFICATE REQUEST-----绑定。例如:Copy to Clipboard Copied! Toggle word wrap Toggle overflow 向导还会将证书请求复制到其在配置目录中创建的文本文件中,该文件位于
/var/lib/pki/ instance_name/subsystem_type/conf/中。文本文件的名称取决于请求的证书类型。下表中列出了可能的文本文件。Expand 表 18.2. 为证书签名请求创建的文件 filename 证书签名请求 kracsr.txt
KRA 传输证书
sslcsr.txt
SSL 服务器证书
othercsr.txt
其他证书,如证书管理器 CRL 签名证书或 SSL 客户端证书
在将证书请求发送到 CA 之前,不要修改证书请求。可以通过向导自动提交请求,或复制到剪贴板,并通过其终端实体页面手动提交到 CA。
注意向导的 auto-submission 功能只能将请求提交到远程证书管理器。它不能用于将请求提交到第三方 CA。要将请求提交到第三方 CA,请使用其中一个证书请求文件。
检索证书。
打开 证书管理器结束实体页面。
https://server.example.com:8443/ca/ee/ca
https://server.example.com:8443/ca/ee/caCopy to Clipboard Copied! Toggle word wrap Toggle overflow - 点 Retrieval 选项卡。
- 填写提交证书请求时创建的请求 ID 号,然后单击 。
下一页显示证书请求的状态。如果状态
完成,则有一个证书的链接。点 Issued 证书 链接。新证书信息以用户为print 格式显示,采用 base-64 编码格式,并且以 PKCS the7 格式显示。
-
将 base-64 编码证书(包括
-----BEGIN CERTIFICATE-----和-----END CERTIFICATE-----marker 行)复制到文本文件。保存文本文件,并使用它来将证书副本存储在子系统的内部数据库中。请参阅 第 16.3.2.1 节 “创建用户”。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}