第 2 章 使用集成的 IdM CA 为用户、主机和服务管理证书
要了解更多有关如何使用集成的 CA、ipa
CA 及其子 CA 管理身份管理(IdM)中证书的信息,请参阅以下部分:
- 使用 IdM Web UI 为用户、主机或服务请求新证书。
使用 IdM CLI 为用户、主机或服务从 IdM CA 请求新证书:
使用 certutil 为用户、主机或服务从 IdM CA 请求新证书
-
对于使用
certutil
工具从 IdM CA 请求新用户证书,并将其导出到 IdM 客户端的具体示例,请参阅 请求新的用户证书并将其导出到客户端。
-
对于使用
- 使用 openssl 为用户、主机或服务从 IdM CA 请求新证书
您还可以使用 certmonger
工具为来自 IdM CA 的服务请求新证书。如需更多信息,请参阅 使用 certmonger 为来自 IdM CA 的服务请求新证书。
先决条件
您的 IdM 部署包含一个集成的 CA:
- 有关如何在 IdM 中规划您的 CA 服务的详情,请参考 规划您的 CA 服务。
- 有关如何安装带有集成 DNS 和集成 CA 作为 root CA 的 IdM 服务器的详情,请参考 安装 IdM 服务器:带有集成 DNS,带有集成 CA 作为根 CA
- 有关如何安装带有集成 DNS 和外部 CA 作为 root CA 的 IdM 服务器的详情,请参考 安装 IdM 服务器:带有集成 DNS,带有外部 CA 作为根 CA
- 有关如何安装没有集成 DNS 且集成的 CA 作为根 CA 的 IdM 服务器的详情,请参考 安装 IdM 服务器:没有集成 DNS,集成 CA 作为根 CA。
可选:您的 IdM 部署支持用户使用证书进行身份验证:
- 有关如何配置 IdM 部署以支持使用存储在 IdM 客户端文件系统中的证书进行用户身份验证的详情,请参考 使用存储在 IdM 客户端桌面上的证书配置身份验证。
- 有关如何配置 IdM 部署以支持使用存储在插入 IdM 客户端智能卡中的证书进行用户身份验证的详情,请参考 为智能卡身份验证配置身份管理。
- 有关如何配置 IdM 部署以支持使用活动目录证书系统发布的智能卡进行用户身份验证的详情,请参考 为 IdM 中的智能卡身份验证配置由 ADCS 发布的证书。
2.1. 使用 IdM Web UI 为用户、主机或服务请求新证书
按照以下流程,使用身份管理(IdM) Web UI 为集成 IdM 证书颁发机构(CA)中的任何 IdM 实体请求新证书:ipa
CA 或其任何子 CA。
IdM 实体包括:
- 用户
- 主机
- 服务
重要
通常运行在存储私钥的专用服务节点上的服务。将服务的私钥复制到 IdM 服务器被视为不安全。因此,在为服务请求证书时,请在服务节点上创建证书签名请求(CSR)。
先决条件
- 您的 IdM 部署包含一个集成的 CA。
- 以 IdM 管理员身份登录到 IdM Web UI。
步骤
-
在
Identity
选项卡下,选择Users
、Hosts
或Services
子选项卡。 单击用户、主机或服务的名称,来打开其配置页面。
图 2.1. 主机列表
-
单击
。 - 可选:选择发布 CA 和配置文件 ID。
-
按照屏幕上使用
certutil
命令行(CLI)工具的说明进行操作。 - 单击 。