第 71 章 管理外部签名的 CA 证书
身份管理(IdM)提供不同类型的证书颁发机构(CA)配置。您可以选择安装带有集成 CA 或带有外部 CA 的 IdM。您必须指定在安装过程中使用的 CA 类型。但是,安装后,您可以从外部签名的 CA 移到自签名 CA,反之亦然。另外,当自动续订自签名 CA 时,您必须确保续订外部签名的 CA 证书。请参考管理外部签名的 CA 证书所需的相关部分。
安装带有外部签名 CA 的 IdM:
- 从外部签名的 CA 切换到自签名 CA。
- 从自签名 CA 切换到外部签名的 CA。
- 续订外部签名的 CA 证书。
71.1. 在 IdM 中从外部签名的 CA 切换到自签名 CA
完成此步骤,从外部签名切换到身份管理(IdM)证书认证机构(CA)的自签名证书。使用自签名 CA 时,自动管理 CA 证书的续订:系统管理员不需要向外部机构提交证书签名请求(CSR)。
从外部签名切换到自签名 CA 只替换 CA 证书。之前 CA 签名的证书仍有效且仍在使用。例如,即使您移至自签名 CA 后,LDAP
证书的证书链也会保持不变:
external_CA
certificate >IdM CA
certificate >LDAP
certificate
先决条件
-
您有访问 IdM CA 续订服务器和所有 IdM 客户端及服务器的
root
权限。
流程
在 IdM CA 续订服务器上,将 CA 证书更新为自签名:
# ipa-cacert-manage renew --self-signed Renewing CA certificate, please wait CA certificate successfully renewed The ipa-cacert-manage command was successful
以
root
身份SSH
到所有剩余的 IdM 服务器和客户端。例如:# ssh root@idmclient01.idm.example.com
在 IdM 客户端上,使用来自服务器的证书更新本地 IdM 证书数据库:
[idmclient01 ~]# ipa-certupdate Systemwide CA database updated. Systemwide CA database updated. The ipa-certupdate command was successful
(可选)检查您的更新是否成功,并将新 CA 证书添加到
/etc/ipa/ca.crt
文件中:[idmclient01 ~]$ openssl crl2pkcs7 -nocrl -certfile /etc/ipa/ca.crt | openssl pkcs7 -print_certs -text -noout [...] Certificate: Data: Version: 3 (0x2) Serial Number: 39 (0x27) Signature Algorithm: sha256WithRSAEncryption Issuer: O=IDM.EXAMPLE.COM, CN=Certificate Authority Validity Not Before: Jul 1 16:32:45 2019 GMT Not After : Jul 1 16:32:45 2039 GMT Subject: O=IDM.EXAMPLE.COM, CN=Certificate Authority [...]
输出显示更新已成功,因为新 CA 证书使用旧的 CA 证书列出。