Certificate

讓 Freeipa CA 簽署證書籤名請求 (CSR)

  • January 3, 2020

我們有一個 Freeipa 的證書頒發機構,我也嘗試使用 Freeipa 建立一個從屬 CA。

ipa-server-install --external-ca我使用命令開始安裝從屬 CA。結果是一個 ipa.csr 文件。

Freeipa 文件說我必須讓根 CA 簽署證書:

這將在 /root/ipa.csr 中生成一個 CSR。這是您需要提供給 CA 以進行簽名的文件。您還需要獲取 CA 信任鏈的 PEM 副本。

一旦你有這兩個,你可以繼續安裝程序

但沒有細節。該ipa-getcert request命令告訴 Certmonger 生成一個簽名請求並將該請求送出給一個 CA。

我只想通過根 CA 簽署 CSR(因為我已經在安裝過程中自動生成了 CSR)。請問該怎麼做?

十分感謝!

我找到了解決方案。

您必須導出根 CA 的配置文件,對其進行修改,然後再導入。

然後你必須使用命令安裝從屬AC ipa-server-install --external-ca (...)

根 CA 對使用該ipa cert-request命令生成的 csr 進行簽名。

然後我們可以繼續安裝從屬CA。

此處提供了更多詳細資訊:

https://frasertweedale.github.io/blog-redhat/posts/2018-08-21-ipa-subordinate-ca.html

--external-ca僅當您希望 FreeIPA 成為外部 CA 的“從屬”CA 時,才使用該標誌。例如,如果您有 Active Directory,並且希望 AD 成為您的根 CA。如果 FreeIPA 將成為您的根 CA,那麼您不需要該--external-ca標誌。

在這種情況下,最好的辦法是重新安裝作業系統,然後重新開始。

引用自:https://serverfault.com/questions/994639