Назад | Перейти на главную страницу

FreeIPA отказывается подписывать запрос на подпись сертификата VMWare (CSR)

Я пытаюсь сделать центр сертификации VMWare (VMCA) v6.7 доверенным вспомогательным центром сертификации центра сертификации FreeIPA. Я должен иметь возможность сгенерировать запрос на подпись сертификата в VMCA, используя либо интерактивный инструмент (диспетчер сертификатов), либо используя Certool VMWare и файл конфигурации (certool.cfg).

Конечно, у интерактивных инструментов есть своя привлекательность. Инструмент задает вопросы. Требуются некоторые ответы:

Press Enter key to skip optional parameters or use Previous value.

Enter proper value for 'Country' [Previous value : US] : 

Enter proper value for 'Name' [Previous value : vcenter.int.demarcohome.com] : 

Enter proper value for 'Organization' [Previous value : DeMarco Home] : 

Enter proper value for 'OrgUnit' [Previous value : none] : 

Enter proper value for 'State' [Previous value : North Carolina] : 

Enter proper value for 'Locality' [Previous value : Raleigh] : 

Enter proper value for 'IPAddress' (Provide comma separated values for multiple IP addresses) [optional] : 

Enter proper value for 'Email' [Previous value : nick@demarcohome.com] : 

Enter proper value for 'Hostname' (Provide comma separated values for multiple Hostname entries) [Enter valid Fully Qualified Domain Name(FQDN), For Example : example.domain.com] : vcenter.int.demarcohome.com

Enter proper value for VMCA 'Name' : vcenter

В FreeIPA, когда я пытаюсь подписать этот CSR, запрос не подписывается с ошибкой № 3009:

invalid 'csr': subject alt name type RFC822Name is forbidden for non-user principals

Расшифровка CSR (https://www.sslshopper.com/csr-decoder.html) сообщает мне, что он включает альтернативные имена субъектов (SAN):

email:nick@demarcohome.com,
IP Address:10.71.73.8
vcenter.int.demarcohome.com

Ошибка «Имя запрещено для пользователей, не являющихся пользователями» имеет для меня некоторый смысл, но ее недостаточно, чтобы указать мне правильное направление. Нужно ли мне по-другому форматировать свой CSR, по-разному отвечая на вопросы, или я неправильно собираюсь создать подчиненный CA в FreeIPA?

Наиболее распространенными именами, используемыми в качестве альтернативного имени субъекта (SAN) в расширении сертификата X.509 v3, являются «DNSName» и «RFC822Name». Имя RFC822Name обычно является адресом электронной почты, а DNSName - именем хоста.

Ошибка «'недопустимый' csr ': тип альтернативного имени субъекта RFC822Name запрещен для субъектов, не являющихся пользователями», говорит сама за себя. Вы не можете использовать SAN с типом имени «RFC822Name», когда запрашиваете сертификат для принципала, не являющегося пользователем.

Похоже, вы пытаетесь создать сертификат для центра сертификации (ЦС). В этом случае вы использовали неправильный профиль сертификата для создания запроса на подпись сертификата (CSR). Я бы порекомендовал поговорить с вашими администраторами PKI и объяснить им, что вы хотите создать CSR для CA, и спросить их, какой профиль использовать. Для разных типов сертификатов требуются разные профили из-за разных расширений, используемых в сертификатах.

Дополнительную информацию о том, как сделать VMCA промежуточным центром сертификации, можно найти здесь:

https://docs.vmware.com/en/VMware-vSphere/6.0/com.vmware.vsphere.security.doc/GUID-886C7657-3C2D-4AAC-8525-D5700CA58FCD.html

И здесь вы видите требования к CSR, чтобы сделать VMCA промежуточным центром сертификации:

https://docs.vmware.com/en/VMware-vSphere/6.0/com.vmware.vsphere.security.doc/GUID-75008746-C902-4C42-8F5C-6602D6E4EC8B.html#GUID-75008746-C902-4C42- 8F5C-6602D6E4EC8B