注意:就我所知,我在这个问题上尽量简单。感谢任何形式的帮助
我是FreeIPA的新手,我很难向作为证书颁发机构的FreeIPA申请SSL证书和密钥文件。
我使用证书管理员的凭据验证我使用klist
获得了krbtgt。
$ klist
Valid starting Expires Service principal
01/05/2022 5:35:35 01/06/2022 5:35:35 krbtgt/MYDOM@MYDOM
renew until 01/12/2022 5:35:35
sudo /usr/bin/ipa-getcert request -r -w -k /tmp/test.key
-f /tmp/test.cert.pem
-g 4096
-K HTTP/service.mydom
-T caIPAserviceCert
-D test.myDom -N CN=test.myDom,O=MYDOM
New signing request "20220105093346" added.
唯一正在创建的是私钥:
$ ls /tmp
test.key
为什么没有创建证书?权限不足
错误:
$ sudo getcert list
Number of certificates and requests being tracked: 1.
Request ID '20220105093346':
status: CA_REJECTED
ca-error: Server at https://idm.myDom/ipa/xml denied our request, giving up: 2100 (RPC failed at server. Insufficient access: Insufficient 'write' privilege to the 'userCertificate' attribute of entry 'krbprincipalname=HTTP/service.mydom@MYDOM,cn=services,cn=accounts,dc=mydom'.).
stuck: yes
key pair storage: type=FILE,location='/tmp/test.key'
certificate: type=FILE,location='/tmp/test.cert.pem'
CA: IPA
issuer:
subject:
expires: unknown
pre-save command:
post-save command:
track: yes
auto-renew: yes
虽然我可以运行
$ ipa service-mod HTTP/service.mydom --certificate=
可能与cname 重复的freeipa请求证书
有什么想法吗?
我向其申请证书的机器需要被允许为web主机管理web服务。
只有目标计算机才能创建证书(IPA使用主机kerberos票证(,以便能够创建证书在IPA服务器上,您需要允许它管理的web服务www主机
[root@ipa-server ~]# ipa service-add-host --hosts=ipa-server.test.lan HTTP/www.test.lan
来源:使用freeipadogtag/为服务创建证书和密钥