62.3. 使用 openssl 从 IdM CA 中为用户、主机或服务请求新证书

如果要确保主机或服务的 Kerberos 别名可以使用证书，您可以使用 openssl 工具为身份管理(IdM)主机或服务请求证书。在标准情况下，请考虑使用 certutil 工具请求一个新证书。

按照以下流程，使用 openssl 为 IdM 主机或来自 ipa、IdM 证书颁发机构的服务请求证书。

重要

通常运行在存储私钥的专用服务节点上的服务。将服务的私钥复制到 IdM 服务器被视为不安全。因此，在为服务请求证书时，请在服务节点上创建证书签名请求(CSR)。

先决条件

流程

为您的 Kerberos 主体 test/server.example.com 创建一个或多个别名。例如，test1/server.example.com 和 test2/server.example.com。
在 CSR 中，为 dnsName(server.example.com)和 otherName(test2/server.example.com)添加 subjectAltName。要做到这一点，请将 openssl.conf 文件配置为包含以下指定 UPN otherName 和 subjectAltName 的行:
```
otherName=1.3.6.1.4.1.311.20.2.3;UTF8:test2/server.example.com@EXAMPLE.COM
DNS.1 = server.example.com
```
```
otherName=1.3.6.1.4.1.311.20.2.3;UTF8:test2/server.example.com@EXAMPLE.COM
DNS.1 = server.example.com
```
Copy to Clipboard Toggle word wrap

使用 openssl 创建一个证书请求：

openssl req -new -newkey rsa:2048 -keyout test2service.key -sha256 -nodes -out certificate_request.csr -config openssl.conf

openssl req -new -newkey rsa:2048 -keyout test2service.key -sha256 -nodes -out certificate_request.csr -config openssl.conf

Copy to Clipboard

Toggle word wrap

返回顶部