Openssl FreeIPA外部CA（中间CA）_Openssl_Ssl Certificate_Ca

Openssl FreeIPA外部CA（中间CA）

openssl

Openssl FreeIPA外部CA（中间CA）,openssl,ssl-certificate,ca,Openssl,Ssl Certificate,Ca,我们正在使用现有CA进行freeipa安装。在安装过程中，会生成CSR，并且必须由CA签名才能创建证书。此证书必须具有 X509v3基本约束条件： CA:是的我已经研究了大约一个小时了，不知该怎么办。通常，我会签署CSR openssl x509 -req -in ipa.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out ipa.pem 这是可行的，但CA:真的不存在。我试着这样做： openssl x509 -req -i

我们正在使用现有CA进行freeipa安装。在安装过程中，会生成CSR，并且必须由CA签名才能创建证书。此证书必须具有

X509v3基本约束条件： CA:是的

我已经研究了大约一个小时了，不知该怎么办。通常，我会签署CSR

openssl x509 -req -in ipa.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out ipa.pem

这是可行的，但CA:真的不存在。我试着这样做：

openssl x509 -req -in ipa.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -extensions v3_ca -out ipa.pem

它产生了与原始版本相同的功能

我可以看到生成的密钥从我的openssl.cnf中提取信息，但它忽略了下面的extensions语句

[ v3_ca ]
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid:always,issuer
basicConstraints = CA:true

有没有人对我需要做什么有什么想法，或者我可以提供什么额外的信息？谢谢

旁注：我没有gui或gui工具，这都是通过命令行实现的。CSR由IPA软件生成，我不是手动创建它

以下是IPA的说明：

为身份管理生成的CA签名证书服务器必须是有效的CA证书。这要求必须将基本约束设置为CA=true或密钥使用扩展名为设置签名证书以允许其签名证书

您可以使用“-extfile”命令使openssl x509读取特定配置

我建议你做一个新的配置，命名为foo.cnf。里面写着：

subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid:always,issuer:always
basicConstraints = CA:true

现在，只需做一点小小的更改即可运行您的命令：

openssl x509 -req -in ipa.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -extfile foo.cnf -out ipa.pem

您现在应该拥有CA:true的证书

您应该首先创建配置文件

特约

sudo openssl x509 -req -in ipa.csr -CA root.crt -CAkey root.key -CAcreateserial -extensions v3_ca -extfile ca.cnf -out ipa.crt