17.2. 通过控制台请求证书


CA、IADP、KRA 和 TKS 的证书设置向导自动执行子系统证书的证书注册过程。控制台可以为该子系统使用的任何证书创建、提交和安装证书。这些证书可以是服务器证书或特定于子系统的证书,如 CA 签名证书或 KRA 传输证书。

17.2.1. 请求签名证书

注意
用户从稍后使用的计算机生成并提交客户端请求非常重要,因为请求进程的一部分在本地计算机上生成私钥。如果需要位置 independence,请使用硬件令牌(如智能卡)来存储密钥对和证书。
  1. 打开子系统控制台。例如:
    pkiconsole https://server.example.com:8443/ca
  2. Configuration 选项卡中,在导航树中选择 System Keys and Certificates
  3. 在右侧面板中,选择 Local Certificates 选项卡。
  4. 单击 Add/Renew
  5. 选择 Request a certificate 单选按钮。
  6. 选择要请求的签名证书类型。
  7. 选择哪个类型的 CA 将为请求签名,可以是 root CA 或从属 CA。
  8. 设置密钥对信息并设置位置来生成密钥(令牌),可以是内部安全数据库目录,也可以是列出的外部令牌之一。
    若要创建新证书,您必须创建一个新密钥对。使用现有密钥对将只续订现有证书。
  9. 选择消息摘要算法。
  10. 指定主题名称。为单个 DN 属性输入值来构建主题 DN 或输入完整的字符串。
    证书请求表单支持通用名称、机构单元和请求名称字段的所有 UTF-8 字符。
    这个支持不包括支持国际化域名。
  11. 指定证书的有效期的开始和结束日期,以及有效期将在这些日期开始和结束的时间。
    默认有效期为五年。
  12. 为证书设置标准扩展。默认会选择所需的扩展。要更改默认选择,请参阅 附录 B, 证书和 CRL 的默认值、约束和扩展 中所述的指南。
    注意
    设置 CA 层次结构需要证书扩展。子 CA 必须具有证书,其中包括将其识别为从属 SSL CA (允许它们为 SSL CA 发布证书)或从属电子邮件 CA (允许它们为安全电子邮件 CA 发布证书的扩展)。禁用证书扩展意味着无法设置 CA 层次结构。
    • 基本限制。相关的字段是 CA 设置以及认证路径长度的数字设置。
    • 扩展的密钥用法.
    • 颁发机构密钥标识符。
    • 主题密钥标识符。
    • 密钥用法.数字签名(以 0 位)、非代表(位 1)、密钥证书签名(以 5 位)和 CRL 符号(以 6 位)位被默认设置。该扩展被标记为 PKIX 标准和 RFC 2459 建议的关键。有关 Key Usage 扩展的描述,请参阅 RFC 2459
    • 扩展的 base-64 SEQUENCE。这适用于自定义扩展。将 MIME 64 DER 编码格式的扩展粘贴到文本字段中。
    要添加多个扩展,请使用 ExtJoiner 程序。有关使用工具的详情,请参考 证书系统命令行工具指南
  13. 向导生成密钥对并显示证书签名请求。
    请求采用 base-64 编码的 PKCSHQ10 格式,由标记行 -----BEGIN NEW CERTIFICATE REQUEST----- 和 ----- END NEW REQUEST----- REQUEST-----。例如:
    -----BEGIN NEW CERTIFICATE REQUEST-----
    MIICJzCCAZCgAwIBAgIBAzANBgkqhkiG9w0BAQQFADBC6SAwHgYDVQQKExdOZXRzY2FwZSBDb21tdW5pY2
    F0aW9uczngjhnMVQ2VydGlmaWNhdGUgQXV0aG9yaXR5MB4XDTk4MDgyNzE5MDAwMFoXDTk5MDIyMzE5MDA
    wMnbjdgngYoxIDAeBgNVBAoTF05ldHNjYXBlIENvbW11bmljYXRpb25zMQ8wDQYDVQQLEwZQZW9wbGUxFz
    AVBgoJkiaJkIsZAEBEwdzdXByaXlhMRcwFQYDVQQDEw5TdXByaXlhIFNoZXR0eTEjMCEGCSqGSIb3Dbndg
    JARYUc3Vwcml5Yhvfggsvwryw4y7214vAOBgNVHQ8BAf8EBAMCBLAwFAYJYIZIAYb4QgEBAQHBAQDAgCAM
    A0GCSqGSIb3DQEBBAUAA4GBAFi9FzyJlLmS+kzsue0kTXawbwamGdYql2w4hIBgdR+jWeLmD4CP4x
    -----END NEW CERTIFICATE REQUEST-----
    该向导还会将证书请求复制到它在配置目录中创建的文本文件,它位于 /var/lib/pki/instance_name/subsystem_type/conf/ 中。文本文件的名称取决于请求的证书类型。可能的文本文件列在 表 17.1 “为证书签名请求创建的文件” 中。
    表 17.1. 为证书签名请求创建的文件
    filename 证书签名请求
    cacsr.txt CA 签名证书
    ocspcsr.txt 证书管理器 OCSP 签名证书
    ocspcsr.txt OCSP 签名证书
    在将证书请求发送到 CA 之前,不要修改证书请求。可以通过向导自动提交请求,或复制到剪贴板,并通过其终端实体页面手动提交到 CA。
    注意
    向导的 auto-submission 功能只能向远程证书管理器提交请求。它不能用于将请求提交到第三方 CA。要将它提交到第三方 CA,请使用证书请求文件。
  14. 检索证书。
    1. 打开 证书管理器结束实体页面。
      https://server.example.com:8443/ca/ee/ca
      
    2. Retrieval 选项卡。
    3. 填写提交证书请求时创建的请求 ID 号,然后单击 Submit
    4. 下一页显示证书请求的状态。如果状态 完成,则有指向证书的链接。点 Issued certificate 链接。
    5. 新证书信息以用户为print 格式显示,采用 base-64 编码格式,并且以 PKCS the7 格式显示。
    6. 将 base-64 编码证书(包括 -----BEGIN CERTIFICATE----------END CERTIFICATE----- 标记行)复制到文本文件。保存文本文件,并使用它来将证书的副本存储在子系统的内部数据库中。请参阅 第 15.3.2.1 节 “创建用户”
注意
pkiconsole 已被弃用。

17.2.2. 请求其他证书

注意
用户从稍后使用的计算机生成并提交客户端请求非常重要,因为请求进程的一部分在本地计算机上生成私钥。如果需要位置 independence,请使用硬件令牌(如智能卡)来存储密钥对和证书。
  1. 打开子系统控制台。例如:
    pkiconsole https://server.example.com:8443/ca
    
  2. Configuration 选项卡中,在导航树中选择 System Keys and Certificates
  3. 在右侧面板中,选择 Local Certificates 选项卡。
  4. 单击 Add/Renew
  5. 选择 Request a certificate 单选按钮。
  6. 选择要请求的证书类型。可以请求的证书类型因子系统而异。
    注意
    如果选择创建"其他"证书,则证书 类型字段 将变为活动状态。填写要创建的证书类型,可以是 CRL 签名证书的 caCrlSigningcaSignedLogCert (审计日志签名证书)或 SSL 客户端证书的客户端。
  7. 选择哪个类型的 CA 将为请求签名。这些选项是使用本地 CA 签名证书,或者创建请求来提交到另一个 CA。
  8. 设置密钥对信息并设置位置来生成密钥(令牌),可以是内部安全数据库目录,也可以是列出的外部令牌之一。
    若要创建新证书,您必须创建一个新密钥对。使用现有密钥对将只续订现有证书。
  9. 指定主题名称。为单个 DN 属性输入值来构建主题 DN 或输入完整的字符串。
    注意
    对于 SSL 服务器证书,通用名称必须是证书系统的完全限定域名,格式为 machine_name.domain.domain
    CA 证书请求表单支持通用名称、机构单元和请求名称字段的所有 UTF-8 字符。
    这个支持不包括支持国际化域名。
  10. 指定证书的有效期的开始和结束日期,以及有效期将在这些日期开始和结束的时间。
    默认有效期为五年。
  11. 为证书设置标准扩展。默认会选择所需的扩展。要更改默认选择,请参阅 附录 B, 证书和 CRL 的默认值、约束和扩展 中所述的指南。
    • 扩展的密钥用法.
    • 颁发机构密钥标识符。
    • 主题密钥标识符。
    • 密钥用法.数字签名(以 0 位)、非代表(位 1)、密钥证书签名(以 5 位)和 CRL 符号(以 6 位)位被默认设置。该扩展被标记为 PKIX 标准和 RFC 2459 建议的关键。有关 Key Usage 扩展的描述,请参阅 RFC 2459
    • 扩展的 base-64 SEQUENCE。这适用于自定义扩展。将 MIME 64 DER 编码格式的扩展粘贴到文本字段中。
    要添加多个扩展,请使用 ExtJoiner 程序。有关使用工具的详情,请参考 证书系统命令行工具指南
  12. 向导生成密钥对并显示证书签名请求。
    请求采用 base-64 编码的 PKCSHQ10 格式,由标记行 -----BEGIN NEW CERTIFICATE REQUEST----- 和 ----- END NEW REQUEST----- REQUEST-----。例如:
    -----BEGIN NEW CERTIFICATE REQUEST-----
    MIICJzCCAZCgAwIBAgIBAzANBgkqhkiG9w0BAQQFADBC6SAwHgYDVQQKExdOZXRzY2FwZSBDb21tdW5pY2
    F0aW9uczngjhnMVQ2VydGlmaWNhdGUgQXV0aG9yaXR5MB4XDTk4MDgyNzE5MDAwMFoXDTk5MDIyMzE5MDA
    wMnbjdgngYoxIDAeBgNVBAoTF05ldHNjYXBlIENvbW11bmljYXRpb25zMQ8wDQYDVQQLEwZQZW9wbGUxFz
    AVBgoJkiaJkIsZAEBEwdzdXByaXlhMRcwFQYDVQQDEw5TdXByaXlhIFNoZXR0eTEjMCEGCSqGSIb3Dbndg
    JARYUc3Vwcml5Yhvfggsvwryw4y7214vAOBgNVHQ8BAf8EBAMCBLAwFAYJYIZIAYb4QgEBAQHBAQDAgCAM
    A0GCSqGSIb3DQEBBAUAA4GBAFi9FzyJlLmS+kzsue0kTXawbwamGdYql2w4hIBgdR+jWeLmD4CP4x
    -----END NEW CERTIFICATE REQUEST-----
    该向导还会将证书请求复制到它在配置目录中创建的文本文件,它位于 /var/lib/pki/instance_name/subsystem_type/conf/ 中。文本文件的名称取决于请求的证书类型。可能的文本文件列在 表 17.2 “为证书签名请求创建的文件” 中。
    表 17.2. 为证书签名请求创建的文件
    filename 证书签名请求
    kracsr.txt KRA 传输证书
    sslcsr.txt SSL 服务器证书
    othercsr.txt 其他证书,如证书管理器 CRL 签名证书或 SSL 客户端证书
    在将证书请求发送到 CA 之前,不要修改证书请求。可以通过向导自动提交请求,或复制到剪贴板,并通过其终端实体页面手动提交到 CA。
    注意
    向导的 auto-submission 功能只能向远程证书管理器提交请求。它不能用于将请求提交到第三方 CA。要将请求提交到第三方 CA,请使用其中一个证书请求文件。
  13. 检索证书。
    1. 打开 证书管理器结束实体页面。
      https://server.example.com:8443/ca/ee/ca
    2. Retrieval 选项卡。
    3. 填写提交证书请求时创建的请求 ID 号,然后单击 Submit
    4. 下一页显示证书请求的状态。如果状态 完成,则有指向证书的链接。点 Issued certificate 链接。
    5. 新证书信息以用户为print 格式显示,采用 base-64 编码格式,并且以 PKCS the7 格式显示。
    6. 将 base-64 编码证书(包括 -----BEGIN CERTIFICATE----------END CERTIFICATE----- 标记行)复制到文本文件。保存文本文件,并使用它来将证书的副本存储在子系统的内部数据库中。请参阅 第 15.3.2.1 节 “创建用户”
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.