支持控制台(Console)开发人员开始试用联系人

第 13 章 管理外部签名的 CA 证书

身份管理(IdM)提供不同类型的证书颁发机构(CA)配置。您可以选择安装带有集成 CA 或带有外部 CA 的 IdM。您必须指定在安装过程中使用的 CA 类型。但是,安装后,您可以从外部签名的 CA 移到自签名 CA,反之亦然。另外,当自动续订自签名 CA 时,您必须确保续订外部签名的 CA 证书。请参考管理外部签名的 CA 证书所需的相关部分。

13.1. 在 IdM 中从外部签名的 CA 切换到自签名 CA

完成这个步骤,从外部签名切换到 Identity Management(IdM)证书颁发机构(CA)的自签名证书。使用自签名 CA,自动管理 CA 证书的续订:系统管理员不需要向外部授权提交证书签名请求(CSR)。

从外部签名的 CA 切换到自签名 CA,只替换 CA 证书。上一个 CA 签名的证书仍然有效,仍在使用中。例如,即使您移至自签名 CA,LDAP 证书的证书链不会改变: 

external_CA certificate > IdM CA certificate > LDAP certificate

先决条件

  • 您有访问 IdM CA 续订服务器和所有 IdM 客户端及服务器的 root 权限。

步骤

  1. 在 IdM CA 续订服务器中,将 CA 证书更新为自签名: 

    # ipa-cacert-manage renew --self-signed
Renewing CA certificate, please wait
CA certificate successfully renewed
The ipa-cacert-manage command was successful

  2. root 身份 SSH 到所有剩余的 IdM 服务器和客户端。例如: 

    # ssh root@idmclient01.idm.example.com

  3. 在 IdM 客户端上,使用来自服务器的证书更新本地 IdM 证书数据库: 

    [idmclient01 ~]# ipa-certupdate
Systemwide CA database updated.
Systemwide CA database updated.
The ipa-certupdate command was successful

验证

  1. 要检查您的更新是否成功,并且新的 CA 证书是否已添加到 /etc/ipa/ca.crt 文件中: 

    [idmclient01 ~]$ openssl crl2pkcs7 -nocrl -certfile /etc/ipa/ca.crt | openssl pkcs7 -print_certs -text -noout
[...]
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 39 (0x27)
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: O=IDM.EXAMPLE.COM, CN=Certificate Authority
        Validity
            Not Before: Jul  1 16:32:45 2019 GMT
            Not After : Jul  1 16:32:45 2039 GMT
        Subject: O=IDM.EXAMPLE.COM, CN=Certificate Authority
[...]

    输出显示,更新已成功,因为使用较旧的 CA 证书列出新的 CA 证书。

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.