0

注意:据我所知,我试图在这个问题中保持尽可能简单。任何形式的帮助表示赞赏

我是 FreeIPA 的新手,我很难从 FreeIPA 作为证书颁发机构请求 SSL 证书和密钥文件。

我使用Certificate Adminklist的凭据验证我获得了 krbtgt 。

$ klist
Valid starting       Expires              Service principal
01/05/2022 5:35:35  01/06/2022 5:35:35  krbtgt/MYDOM@MYDOM
    renew until 01/12/2022 5:35:35


sudo /usr/bin/ipa-getcert request -r -w  -k /tmp/test.key \
 -f /tmp/test.cert.pem \
 -g 4096 
 -K HTTP/service.mydom \ 
 -T caIPAserviceCert \
 -D test.myDom -N CN=test.myDom,O=MYDOM


New signing request "20220105093346" added.

唯一被创建的是私钥:

$ ls /tmp
test.key

为什么不创建证书?权限不足。
错误:

$ sudo getcert list

Number of certificates and requests being tracked: 1.
Request ID '20220105093346':
    status: CA_REJECTED
    ca-error: Server at https://idm.myDom/ipa/xml denied our request, giving up: 2100 (RPC failed at server.  Insufficient access: Insufficient 'write' privilege to the 'userCertificate' attribute of entry 'krbprincipalname=HTTP/service.mydom@MYDOM,cn=services,cn=accounts,dc=mydom'.).
    stuck: yes
    key pair storage: type=FILE,location='/tmp/test.key'
    certificate: type=FILE,location='/tmp/test.cert.pem'
    CA: IPA
    issuer: 
    subject: 
    expires: unknown
    pre-save command: 
    post-save command: 
    track: yes
    auto-renew: yes

虽然我能跑

$ ipa service-mod HTTP/service.mydom --certificate=

可能重复freeipa-request-certificate-with-cname

有任何想法吗?

4

1 回答 1

1

原来我请求证书的机器需要被允许管理网络主机的网络服务。

默认情况下,只有目标机器可以创建证书(IPA 使用主机 kerberos 票证),因此要能够在 IPA 服务器上创建证书,您需要允许它管理 www 主机的 Web 服务。
[root@ipa-server ~]# ipa service-add-host --hosts=ipa-server.test.lan HTTP/www.test.lan

来源: 使用 freeipadogtag/ 为服务创建证书和密钥

于 2022-01-06T08:07:13.853 回答