У нас есть центр сертификации с Freeipa, и я также пытаюсь создать подчиненный центр сертификации с Freeipa.
Я начал установку подчиненного ЦС с ipa-server-install --external-ca
команда. Результат - файл ipa.csr.
В документации Freeipa говорится, что сертификат должен быть подписан корневым центром сертификации:
Это создаст CSR в /root/ipa.csr. Это файл, который вам необходимо предоставить в центр сертификации для подписи. Вам также потребуется получить копию PEM вашей цепочки доверия CA.
Когда у вас есть оба из них, вы можете продолжить установку.
Но нет подробностей. В ipa-getcert request
команда сообщает Certmonger о необходимости создания запроса на подпись и отправить запрос на подпись в ЦС.
Я хотел бы просто подписать CSR корневым центром сертификации (потому что у меня уже есть CSR, автоматически сгенерированный во время установки). Как это сделать?
Большое тебе спасибо!
Я нашел решение.
Вы должны экспортировать профиль корневого ЦС, изменить его, а затем импортировать.
Затем вам необходимо установить подчиненный AC с помощью команды ipa-server-install --external-ca (...)
.
Корневой ЦС подписывает csr, созданный с помощью ipa cert-request
команда.
Затем мы можем продолжить установку подчиненного ЦС.
Более подробная информация представлена здесь:
https://frasertweedale.github.io/blog-redhat/posts/2018-08-21-ipa-subordinate-ca.html
В --external-ca
Флаг используется только в том случае, если вы хотите, чтобы FreeIPA был «подчиненным» CA вне внешнего CA. Например, если у вас есть Active Directory, и вы хотите, чтобы AD был вашим корневым центром сертификации. Если FreeIPA будет вашим корневым центром сертификации, вам не понадобится --external-ca
флаг.
Лучше всего в этом случае переустановить ОС и начать заново.