FreeIPA外部CA（中间CA）

问题描述：

我们正在使用我们现有的CA进行freeipa安装。在安装过程中，会生成一个CSR，并且必须由CA签名才能创建证书。此证书必须具有FreeIPA外部CA（中间CA）

采用X509v3基本约束： CA：TRUE

我一直在研究了大约一个小时，我在做什么损失。通常情况下，我签署的CSR本身如此

openssl x509 -req -in ipa.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out ipa.pem

这样的工作，但CA：TRUE不存在。我试过这样做：

openssl x509 -req -in ipa.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -extensions v3_ca -out ipa.pem

并且它产生了与原始相同的能力。

我可以看到生成的密钥从我的openssl.cnf中获取信息，但忽略了下面的扩展语句。

[ v3_ca ] 
subjectKeyIdentifier=hash 
authorityKeyIdentifier=keyid:always,issuer 
basicConstraints = CA:true

有没有人有什么想法，我需要做什么，或者我可以提供什么额外的信息？谢谢！

旁注：我没有gui或gui工具，这一切都来自命令行。 CSR由IPA软件生成，我不是手动创建它的。

这里的音符从IPA：产生

的CA签名证书的身份管理服务器必须是有效的CA证书。这要求将基本约束设置为CA = true或者在签名证书上设置密钥使用扩展为以允许其签署证书。

答

您可以使openssl x509使用“-extfile”命令读取特定配置。

我建议你做一个新的配置，让它命名为foo.cnf。它里面放：

subjectKeyIdentifier=hash 
authorityKeyIdentifier=keyid:always,issuer:always 
basicConstraints = CA:true

现在有了一个小的改变运行命令：

openssl x509 -req -in ipa.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -extfile foo.cnf -out ipa.pem

您现在应该有一个CA证书：真。

工作！太棒了，谢谢你！ – driz 2014-09-02 02:12:50