Certificate

FreeIPA 拒絕簽署 VMWare 證書籤名請求 (CSR)

  • July 19, 2021

我正在嘗試使 VMWare 的證書頒發機構 (VMCA) v6.7 成為 FreeIPA 證書頒發機構的受信任子 CA。我應該能夠使用互動式工具(證書管理器)或使用 VMWare 的 certool 和配置文件(certool.cfg)在 VMCA 中生成證書籤名請求。

當然,互動式工具有其吸引力。該工具提出問題。需要一些答案:

Press Enter key to skip optional parameters or use Previous value.

Enter proper value for 'Country' [Previous value : US] : 

Enter proper value for 'Name' [Previous value : vcenter.int.demarcohome.com] : 

Enter proper value for 'Organization' [Previous value : DeMarco Home] : 

Enter proper value for 'OrgUnit' [Previous value : none] : 

Enter proper value for 'State' [Previous value : North Carolina] : 

Enter proper value for 'Locality' [Previous value : Raleigh] : 

Enter proper value for 'IPAddress' (Provide comma separated values for multiple IP addresses) [optional] : 

Enter proper value for 'Email' [Previous value : nick@demarcohome.com] : 

Enter proper value for 'Hostname' (Provide comma separated values for multiple Hostname entries) [Enter valid Fully Qualified Domain Name(FQDN), For Example : example.domain.com] : vcenter.int.demarcohome.com

Enter proper value for VMCA 'Name' : vcenter

在 FreeIPA 中,當我嘗試簽署此 CSR 時,請求未簽名,錯誤 #3009:

invalid 'csr': subject alt name type RFC822Name is forbidden for non-user principals

解碼 CSR ( https://www.sslshopper.com/csr-decoder.html ) 告訴我它包括主題備用名稱 (SAN):

email:nick@demarcohome.com,
IP Address:10.71.73.8
vcenter.int.demarcohome.com

錯誤“非使用者主體禁止使用名稱”對我來說有些道理,但不足以為我指明正確的方向。我是否需要通過以不同方式回答問題來以不同方式格式化我的 CSR,或者我是否要在 FreeIPA 中錯誤地創建從屬 CA 的過程?

在 X.509 v3 證書擴展中用作主題備用名稱 (SAN) 的最常見名稱是“DNSName”和“RFC822Name”。名稱“RFC822Name”通常是電子郵件地址,而“DNSName”是主機名。

錯誤“‘invalid ‘csr’: subject alt name type RFC822Name is allowed for non-user principals’”說明了一切。為非使用者主體請求證書時,不能使用名稱類型為“RFC822Name”的 SAN。

您似乎正在嘗試為證書頒發機構 (CA) 創建證書。在這種情況下,您使用了錯誤的證書配置文件來創建證書籤名請求 (CSR)。我建議與您的 PKI 管理員交談並向他們解釋您要為 CA 創建 CSR 並詢問他們要使用哪個配置文件。由於證書中使用的副檔名不同,不同類型的證書需要不同的配置文件。

您可以在此處找到有關如何使 VMCA 成為中間 CA 的更多資訊:

https://docs.vmware.com/en/VMware-vSphere/6.0/com.vmware.vsphere.security.doc/GUID-886C7657-3C2D-4AAC-8525-D5700CA58FCD.html

在這裡您可以看到 CSR 使 VMCA 成為中間 CA 的要求:

https://docs.vmware.com/en/VMware-vSphere/6.0/com.vmware.vsphere.security.doc/GUID-75008746-C902-4C42-8F5C-6602D6E4EC8B.html#GUID-75008746-C902-4C42-8F5C-6602D6E4EC8B

引用自:https://serverfault.com/questions/1005564