CA 在 FreeIPA 中的私钥在哪里?
where's the CA's private key in FreeIPA?
我是 运行 FreeIPA,想将其用作内部证书颁发机构。
我注意到 ipa cert-request
命令将签署 CSR(证书签署请求),这很棒,只是它也创建了一个委托人,我不希望这样。我更喜欢使用 openssl x509 -req ...
命令。
我了解 openssl x509 -req ...
命令使用 CA 的证书 和 私钥签署 CSR。我在 FreeIPA(在 /etc/ipa/ca.crt
中)找到了 CA 的证书,但找不到私钥。有谁知道我在哪里可以找到这个?
为 FreeIPA 提交的用于签名的证书请求通过内部检查集,验证您颁发这些证书的权利。我们很早就做出了一个决定,即证书中的 Kerberos 主体 SAN 是我们可以强制执行的一件事,因此它被强制执行了。
证书颁发机构不仅仅是使用 openssl 进行自签名。它还包括吊销列表维护,并且在不知道发布了什么以及如何发布的情况下,很难维护它。
您是否有任何特定理由颁发其中没有 Kerberos 主体的证书?请注意,您可以通过任何方式生成证书签名请求,然后直接通过 'ipa cert-request' 或 IPA Web UI 提交,而不是使用 certmonger 的工具。不过,此 CSR 仍需要通过验证。
我是 运行 FreeIPA,想将其用作内部证书颁发机构。
我注意到 ipa cert-request
命令将签署 CSR(证书签署请求),这很棒,只是它也创建了一个委托人,我不希望这样。我更喜欢使用 openssl x509 -req ...
命令。
我了解 openssl x509 -req ...
命令使用 CA 的证书 和 私钥签署 CSR。我在 FreeIPA(在 /etc/ipa/ca.crt
中)找到了 CA 的证书,但找不到私钥。有谁知道我在哪里可以找到这个?
为 FreeIPA 提交的用于签名的证书请求通过内部检查集,验证您颁发这些证书的权利。我们很早就做出了一个决定,即证书中的 Kerberos 主体 SAN 是我们可以强制执行的一件事,因此它被强制执行了。
证书颁发机构不仅仅是使用 openssl 进行自签名。它还包括吊销列表维护,并且在不知道发布了什么以及如何发布的情况下,很难维护它。
您是否有任何特定理由颁发其中没有 Kerberos 主体的证书?请注意,您可以通过任何方式生成证书签名请求,然后直接通过 'ipa cert-request' 或 IPA Web UI 提交,而不是使用 certmonger 的工具。不过,此 CSR 仍需要通过验证。