我们有一个与 Freeipa 合作的证书颁发机构,并且我也尝试与 Freeipa 合作建立一个从属 CA。
我使用命令启动了从属CA的安装ipa-server-install --external-ca
。结果是一个ipa.csr文件。
Freeipa 文档说我必须拥有由根 CA 签名的证书:
这将在 /root/ipa.csr 中生成 CSR。这是您需要提供给 CA 进行签名的文件。您还需要获取 CA 信任链的 PEM 副本。
完成上述操作后,即可继续安装
但没有详细信息。该ipa-getcert request
命令告诉 Certmonger 生成签名请求和将请求提交给 CA 进行签名。
我只想通过根 CA 签署 CSR(因为我已经在安装过程中自动生成了 CSR)。请问该怎么做?
万分感谢!
答案1
仅当您希望 FreeIPA 成为外部 CA 的“下属”CA 时才使用此--external-ca
标志。例如,如果您有 Active Directory,并且希望 AD 成为您的根 CA。如果 FreeIPA 将成为您的根 CA,则您不需要该标志--external-ca
。
在这种情况下,最好的办法是重新安装操作系统,然后重新开始。
答案2
我找到了一个解决方案。
您必须导出根 CA 的配置文件,修改它,然后导入它。
然后你必须使用命令安装从属AC ipa-server-install --external-ca (...)
。
根 CA 对使用该命令生成的 csr 进行签名ipa cert-request
。
然后我们就可以继续安装从属CA了。
更多详细信息请参阅此处:
https://frasertweedale.github.io/blog-redhat/posts/2018-08-21-ipa-subordinate-ca.html