Openssl FreeIPA外部CA(中间CA)
我们正在使用现有CA进行freeipa安装。在安装过程中,会生成CSR,并且必须由CA签名才能创建证书。此证书必须具有 X509v3基本约束条件: CA:是的 我已经研究了大约一个小时了,不知该怎么办。通常,我会签署CSROpenssl FreeIPA外部CA(中间CA),openssl,ssl-certificate,ca,Openssl,Ssl Certificate,Ca,我们正在使用现有CA进行freeipa安装。在安装过程中,会生成CSR,并且必须由CA签名才能创建证书。此证书必须具有 X509v3基本约束条件: CA:是的 我已经研究了大约一个小时了,不知该怎么办。通常,我会签署CSR openssl x509 -req -in ipa.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out ipa.pem 这是可行的,但CA:真的不存在。 我试着这样做: openssl x509 -req -i
openssl x509 -req -in ipa.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out ipa.pem
这是可行的,但CA:真的不存在。
我试着这样做:
openssl x509 -req -in ipa.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -extensions v3_ca -out ipa.pem
它产生了与原始版本相同的功能
我可以看到生成的密钥从我的openssl.cnf中提取信息,但它忽略了下面的extensions语句
[ v3_ca ]
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid:always,issuer
basicConstraints = CA:true
有没有人对我需要做什么有什么想法,或者我可以提供什么额外的信息?谢谢
旁注:我没有gui或gui工具,这都是通过命令行实现的。CSR由IPA软件生成,我不是手动创建它
以下是IPA的说明:
为身份管理生成的CA签名证书
服务器必须是有效的CA证书。这要求
必须将基本约束设置为CA=true或密钥使用扩展名为
设置签名证书以允许其签名证书
您可以使用“-extfile”命令使openssl x509读取特定配置 我建议你做一个新的配置,命名为foo.cnf。 里面写着:
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid:always,issuer:always
basicConstraints = CA:true
现在,只需做一点小小的更改即可运行您的命令:
openssl x509 -req -in ipa.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -extfile foo.cnf -out ipa.pem
您现在应该拥有CA:true的证书
sudo openssl x509 -req -in ipa.csr -CA root.crt -CAkey root.key -CAcreateserial -extensions v3_ca -extfile ca.cnf -out ipa.crt