Назад | Перейти на главную страницу

Запрос на подпись сертификата (CSR) должен быть подписан центром сертификации Freeipa

У нас есть центр сертификации с Freeipa, и я также пытаюсь создать подчиненный центр сертификации с Freeipa.

Я начал установку подчиненного ЦС с ipa-server-install --external-ca команда. Результат - файл ipa.csr.

В документации Freeipa говорится, что сертификат должен быть подписан корневым центром сертификации:

Это создаст CSR в /root/ipa.csr. Это файл, который вам необходимо предоставить в центр сертификации для подписи. Вам также потребуется получить копию PEM вашей цепочки доверия CA.

Когда у вас есть оба из них, вы можете продолжить установку.

Но нет подробностей. В ipa-getcert request команда сообщает Certmonger о необходимости создания запроса на подпись и отправить запрос на подпись в ЦС.

Я хотел бы просто подписать CSR корневым центром сертификации (потому что у меня уже есть CSR, автоматически сгенерированный во время установки). Как это сделать?

Большое тебе спасибо!

Я нашел решение.

Вы должны экспортировать профиль корневого ЦС, изменить его, а затем импортировать.

Затем вам необходимо установить подчиненный AC с помощью команды ipa-server-install --external-ca (...).

Корневой ЦС подписывает csr, созданный с помощью ipa cert-request команда.

Затем мы можем продолжить установку подчиненного ЦС.

Более подробная информация представлена ​​здесь:

https://frasertweedale.github.io/blog-redhat/posts/2018-08-21-ipa-subordinate-ca.html

В --external-ca Флаг используется только в том случае, если вы хотите, чтобы FreeIPA был «подчиненным» CA вне внешнего CA. Например, если у вас есть Active Directory, и вы хотите, чтобы AD был вашим корневым центром сертификации. Если FreeIPA будет вашим корневым центром сертификации, вам не понадобится --external-ca флаг.

Лучше всего в этом случае переустановить ОС и начать заново.