Я пытаюсь сделать центр сертификации VMWare (VMCA) v6.7 доверенным вспомогательным центром сертификации центра сертификации FreeIPA. Я должен иметь возможность сгенерировать запрос на подпись сертификата в VMCA, используя либо интерактивный инструмент (диспетчер сертификатов), либо используя Certool VMWare и файл конфигурации (certool.cfg).
Конечно, у интерактивных инструментов есть своя привлекательность. Инструмент задает вопросы. Требуются некоторые ответы:
Press Enter key to skip optional parameters or use Previous value.
Enter proper value for 'Country' [Previous value : US] :
Enter proper value for 'Name' [Previous value : vcenter.int.demarcohome.com] :
Enter proper value for 'Organization' [Previous value : DeMarco Home] :
Enter proper value for 'OrgUnit' [Previous value : none] :
Enter proper value for 'State' [Previous value : North Carolina] :
Enter proper value for 'Locality' [Previous value : Raleigh] :
Enter proper value for 'IPAddress' (Provide comma separated values for multiple IP addresses) [optional] :
Enter proper value for 'Email' [Previous value : nick@demarcohome.com] :
Enter proper value for 'Hostname' (Provide comma separated values for multiple Hostname entries) [Enter valid Fully Qualified Domain Name(FQDN), For Example : example.domain.com] : vcenter.int.demarcohome.com
Enter proper value for VMCA 'Name' : vcenter
В FreeIPA, когда я пытаюсь подписать этот CSR, запрос не подписывается с ошибкой № 3009:
invalid 'csr': subject alt name type RFC822Name is forbidden for non-user principals
Расшифровка CSR (https://www.sslshopper.com/csr-decoder.html) сообщает мне, что он включает альтернативные имена субъектов (SAN):
email:nick@demarcohome.com,
IP Address:10.71.73.8
vcenter.int.demarcohome.com
Ошибка «Имя запрещено для пользователей, не являющихся пользователями» имеет для меня некоторый смысл, но ее недостаточно, чтобы указать мне правильное направление. Нужно ли мне по-другому форматировать свой CSR, по-разному отвечая на вопросы, или я неправильно собираюсь создать подчиненный CA в FreeIPA?
Наиболее распространенными именами, используемыми в качестве альтернативного имени субъекта (SAN) в расширении сертификата X.509 v3, являются «DNSName» и «RFC822Name». Имя RFC822Name обычно является адресом электронной почты, а DNSName - именем хоста.
Ошибка «'недопустимый' csr ': тип альтернативного имени субъекта RFC822Name запрещен для субъектов, не являющихся пользователями», говорит сама за себя. Вы не можете использовать SAN с типом имени «RFC822Name», когда запрашиваете сертификат для принципала, не являющегося пользователем.
Похоже, вы пытаетесь создать сертификат для центра сертификации (ЦС). В этом случае вы использовали неправильный профиль сертификата для создания запроса на подпись сертификата (CSR). Я бы порекомендовал поговорить с вашими администраторами PKI и объяснить им, что вы хотите создать CSR для CA, и спросить их, какой профиль использовать. Для разных типов сертификатов требуются разные профили из-за разных расширений, используемых в сертификатах.
Дополнительную информацию о том, как сделать VMCA промежуточным центром сертификации, можно найти здесь:
И здесь вы видите требования к CSR, чтобы сделать VMCA промежуточным центром сертификации: