6.5. 使用证书配置文件和 CA ACL 来发布证书
当证书颁发机构访问控制列表(CA ACL)允许时,您可以使用证书配置文件来请求证书。按照以下流程,使用已通过 CA ACL 授予了访问权限的自定义证书配置文件来为用户请求 S/MIME 证书。
先决条件
- 您的证书配置文件已创建。
- 允许用户使用所需证书配置文件请求证书的 CA ACL已创建。
注意
您可以绕过 CA ACL 检查用户是否执行了 cert-request 命令:
-
是
admin用户。 -
具有
请求证书忽略 CA ACL权限.
步骤
为用户生成证书请求。例如,使用 OpenSSL:
$ openssl req -new -newkey rsa:2048 -days 365 -nodes -keyout private.key -out cert.csr -subj '/CN=smime_user'
为用户从 IdM CA 请求新证书:
$ ipa cert-request cert.csr --principal=smime_user --profile-id=smime
(可选)将 --ca sub-CA_name 选项传给命令,以从子 CA ,而不是根 CA 请求证书。
验证
验证新发布的证书是否已分配给用户:
$ ipa user-show user User login: user ... Certificate: MIICfzCCAWcCAQA... ...
其他资源
-
您系统上的
ipa (a)和openssl (lssl)手册页 -
ipa help user-show命令 -
ipa help cert-request命令
