我们正在使用现有的CA进行freeipa安装。在安装过程中,将生成CSR,并且必须由CA签名才能创建证书。此证书必须具有
X509v3基本限制:CA:真正的
我已经研究了大约一个小时了,我不知道该怎么办。通常,我会像一样签署CSR
openssl x509 -req -in ipa.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out ipa.pem
这是有效的,但是CA:TRUE不存在。我试过这样做:
openssl x509 -req -in ipa.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -extensions v3_ca -out ipa.pem
它产生了与原来相同的能力。
我可以看到生成的密钥从我的openssl.cnf中提取信息,但它忽略了下面的extensions语句。
[ v3_ca ]
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid:always,issuer
basicConstraints = CA:true
有没有人知道我需要做什么,或者我可以提供什么额外的信息?谢谢
旁注:我没有gui或gui工具,这都是来自命令行的。CSR是由IPA软件生成的,我不是手动创建的。
这是IPA:的提示
为身份管理生成的CA签名证书服务器必须是有效的CA证书。这需要基本约束设置为CA=true或密钥使用扩展设置为在签名证书上设置以允许其对证书进行签名。
您可以使用"-extfile"命令使openssl x509读取特定的配置。
我建议你做一个新的配置,把它命名为foo.cnf。里面放着:
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid:always,issuer:always
basicConstraints = CA:true
现在运行您的命令并进行一个小的更改:
openssl x509 -req -in ipa.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -extfile foo.cnf -out ipa.pem
您现在应该拥有CA的证书:true。
-
您应该首先创建配置文件
teeca.cnf<lt;EOF
[v3_ca]
subjectKeyIdentifier=哈希
authorityKeyIdentifier=keyid:always,颁发者:always
basicConstraints=CA:true
EOF- -
使用选项进行签名时使用
-扩展名v3_ca-extfile ca.cnf
sudo openssl x509 -req -in ipa.csr -CA root.crt -CAkey root.key -CAcreateserial -extensions v3_ca -extfile ca.cnf -out ipa.crt
检查
sudo openssl x509-text-noout-在ipa.crt 中