讓 Freeipa CA 簽署證書籤名請求 (CSR)
我們有一個 Freeipa 的證書頒發機構,我也嘗試使用 Freeipa 建立一個從屬 CA。
ipa-server-install --external-ca
我使用命令開始安裝從屬 CA。結果是一個 ipa.csr 文件。Freeipa 文件說我必須讓根 CA 簽署證書:
這將在 /root/ipa.csr 中生成一個 CSR。這是您需要提供給 CA 以進行簽名的文件。您還需要獲取 CA 信任鏈的 PEM 副本。
一旦你有這兩個,你可以繼續安裝程序
但沒有細節。該
ipa-getcert request
命令告訴 Certmonger 生成一個簽名請求並將該請求送出給一個 CA。我只想通過根 CA 簽署 CSR(因為我已經在安裝過程中自動生成了 CSR)。請問該怎麼做?
十分感謝!
我找到了解決方案。
您必須導出根 CA 的配置文件,對其進行修改,然後再導入。
然後你必須使用命令安裝從屬AC
ipa-server-install --external-ca (...)
。根 CA 對使用該
ipa cert-request
命令生成的 csr 進行簽名。然後我們可以繼續安裝從屬CA。
此處提供了更多詳細資訊:
https://frasertweedale.github.io/blog-redhat/posts/2018-08-21-ipa-subordinate-ca.html
--external-ca
僅當您希望 FreeIPA 成為外部 CA 的“從屬”CA 時,才使用該標誌。例如,如果您有 Active Directory,並且希望 AD 成為您的根 CA。如果 FreeIPA 將成為您的根 CA,那麼您不需要該--external-ca
標誌。在這種情況下,最好的辦法是重新安裝作業系統,然後重新開始。