0

我正在运行 FreeIPA,并希望将其用作内部证书颁发机构。

我注意到该ipa cert-request命令将签署一个 CSR(证书签名请求),这很好,除了它也创建了一个主体,我不希望这样。我更喜欢使用openssl x509 -req ...命令。

我了解该命令使用 CA 的证书私钥openssl x509 -req ...签署 CSR 。我在 FreeIPA (in ) 中找到了 CA 的证书,但找不到私钥。有谁知道我在哪里可以找到这个?/etc/ipa/ca.crt

4

1 回答 1

1

为 FreeIPA 提交的用于签名的证书请求通过验证您颁发这些证书的权利的内部检查集。我们很早就做出的一个决定是,证书中的 Kerberos 主体 SAN 是我们可以强制执行的一件事,因此可以强制执行。

证书颁发机构不仅仅是使用 openssl 进行自签名。它还包括撤销列表维护,并且在不知道发布了什么以及如何发布的情况下,很难维护它。

您是否有任何特定理由颁发没有 Kerberos 主体的证书?请注意,您可以通过任何方式生成证书签名请求,然后直接通过“ipa cert-request”或 IPA Web UI 提交,而不是使用 certmonger 的工具。但是,此 CSR 仍需要通过验证。

于 2019-08-28T07:17:00.560 回答