FreeIPA 拒絕簽署 VMWare 證書籤名請求 (CSR)
我正在嘗試使 VMWare 的證書頒發機構 (VMCA) v6.7 成為 FreeIPA 證書頒發機構的受信任子 CA。我應該能夠使用互動式工具(證書管理器)或使用 VMWare 的 certool 和配置文件(certool.cfg)在 VMCA 中生成證書籤名請求。
當然,互動式工具有其吸引力。該工具提出問題。需要一些答案:
Press Enter key to skip optional parameters or use Previous value. Enter proper value for 'Country' [Previous value : US] : Enter proper value for 'Name' [Previous value : vcenter.int.demarcohome.com] : Enter proper value for 'Organization' [Previous value : DeMarco Home] : Enter proper value for 'OrgUnit' [Previous value : none] : Enter proper value for 'State' [Previous value : North Carolina] : Enter proper value for 'Locality' [Previous value : Raleigh] : Enter proper value for 'IPAddress' (Provide comma separated values for multiple IP addresses) [optional] : Enter proper value for 'Email' [Previous value : nick@demarcohome.com] : Enter proper value for 'Hostname' (Provide comma separated values for multiple Hostname entries) [Enter valid Fully Qualified Domain Name(FQDN), For Example : example.domain.com] : vcenter.int.demarcohome.com Enter proper value for VMCA 'Name' : vcenter
在 FreeIPA 中,當我嘗試簽署此 CSR 時,請求未簽名,錯誤 #3009:
invalid 'csr': subject alt name type RFC822Name is forbidden for non-user principals
解碼 CSR ( https://www.sslshopper.com/csr-decoder.html ) 告訴我它包括主題備用名稱 (SAN):
email:nick@demarcohome.com, IP Address:10.71.73.8 vcenter.int.demarcohome.com
錯誤“非使用者主體禁止使用名稱”對我來說有些道理,但不足以為我指明正確的方向。我是否需要通過以不同方式回答問題來以不同方式格式化我的 CSR,或者我是否要在 FreeIPA 中錯誤地創建從屬 CA 的過程?
在 X.509 v3 證書擴展中用作主題備用名稱 (SAN) 的最常見名稱是“DNSName”和“RFC822Name”。名稱“RFC822Name”通常是電子郵件地址,而“DNSName”是主機名。
錯誤“‘invalid ‘csr’: subject alt name type RFC822Name is allowed for non-user principals’”說明了一切。為非使用者主體請求證書時,不能使用名稱類型為“RFC822Name”的 SAN。
您似乎正在嘗試為證書頒發機構 (CA) 創建證書。在這種情況下,您使用了錯誤的證書配置文件來創建證書籤名請求 (CSR)。我建議與您的 PKI 管理員交談並向他們解釋您要為 CA 創建 CSR 並詢問他們要使用哪個配置文件。由於證書中使用的副檔名不同,不同類型的證書需要不同的配置文件。
您可以在此處找到有關如何使 VMCA 成為中間 CA 的更多資訊:
在這裡您可以看到 CSR 使 VMCA 成為中間 CA 的要求: