FreeIPA外部CA(中间CA)
问题描述:
我们正在使用我们现有的CA进行freeipa安装。在安装过程中,会生成一个CSR,并且必须由CA签名才能创建证书。此证书必须具有FreeIPA外部CA(中间CA)
采用X509v3基本约束: CA:TRUE
我一直在研究了大约一个小时,我在做什么损失。通常情况下,我签署的CSR本身如此
openssl x509 -req -in ipa.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out ipa.pem
这样的工作,但CA:TRUE不存在。 我试过这样做:
openssl x509 -req -in ipa.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -extensions v3_ca -out ipa.pem
并且它产生了与原始相同的能力。
我可以看到生成的密钥从我的openssl.cnf中获取信息,但忽略了下面的扩展语句。
[ v3_ca ]
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid:always,issuer
basicConstraints = CA:true
有没有人有什么想法,我需要做什么,或者我可以提供什么额外的信息?谢谢!
旁注:我没有gui或gui工具,这一切都来自命令行。 CSR由IPA软件生成,我不是手动创建它的。
这里的音符从IPA:产生
的CA签名证书的身份管理 服务器必须是有效的CA证书。这要求将 基本约束设置为CA = true或者在签名证书上设置密钥使用扩展为 以允许其签署证书。
答
您可以使openssl x509使用“-extfile”命令读取特定配置。
我建议你做一个新的配置,让它命名为foo.cnf。 它里面放:
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid:always,issuer:always
basicConstraints = CA:true
现在有了一个小的改变运行命令:
openssl x509 -req -in ipa.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -extfile foo.cnf -out ipa.pem
您现在应该有一个CA证书:真。
工作!太棒了,谢谢你! – driz 2014-09-02 02:12:50