Openssl 在FreeIPA中CA的私钥在哪里？

我正在运行FreeIPA，并希望将其用作内部证书颁发机构

我注意到ipa cert request命令将对CSR证书签名请求进行签名，这很好，只是它也创建了一个主体，我不希望这样。我更喜欢使用openssl x509-req。。。指挥部

---

我知道openssl x509-req。。。命令使用CA的证书和私钥对CSR进行签名。我在/etc/ipa/CA.crt中的FreeIPA中找到了CA的证书，但找不到私钥。有人知道我在哪里能找到这个吗

为FreeIPA提交的用于签名的证书请求通过一组内部检查来验证您颁发这些证书的权限。我们提前做出的一个决定是，证书中的Kerberos主体SAN是我们可以强制执行的一件事情，因此它是强制执行的

证书颁发机构不仅仅是使用openssl进行自签名。它还包括撤销列表维护，在不知道发布了什么以及如何发布的情况下，维护该列表会更加困难

---

您是否有任何特定的原因来发布证书，但证书中没有Kerberos主体？请注意，您可以以任何方式生成证书签名请求，然后直接通过“ipa cert request”或ipa Web UI提交，而不使用certmonger的工具。不过，此CSR仍需通过验证。

非常感谢，@abbra。我试图避免使用Kerberos/FreeIPA有几个原因。一个是准合法的，一个是愚蠢的。准合法的原因是，我试图记录一个过程，该过程不假设读者拥有FreeIPA，即使我使用的是FreeIPA。愚蠢的原因是我对Kerberos有点害怕。在YouTube上看了一场80分钟的演讲后，我稍微不那么害怕了，但只是有点害怕。我意识到，从安全角度来看，这两个理由都没有任何意义