FreeIPA外部CA (中间CA)

Question

我们正在使用我们现有的CA进行一个freeipa安装。在安装过程中，将生成CSR，并且必须由CA签名才能创建证书。此证书必须具有

X509v3基本约束: CA:TRUE

我已经研究了大约一个小时了，我不知所措。一般情况下，我都会签署CSR

openssl x509 -req -in ipa.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out ipa.pem

这是可行的，但是CA:真不存在。我试过这样做：

openssl x509 -req -in ipa.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -extensions v3_ca -out ipa.pem

它产生了和原来相同的功能。

我可以看到生成的键从我的openssl.cnf中获取信息，但它忽略了扩展语句，如下所示。

[ v3_ca ]
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid:always,issuer
basicConstraints = CA:true

有没有人知道我需要做什么，或者我能提供什么更多的信息？谢谢!

Sidenote:我没有gui或gui工具，这都来自命令行。CSR是由IPA软件生成的，我不是手动创建的。

这是IPA的便条：

为标识管理服务器生成的CA签名证书必须是有效的CA证书。这要求将基本约束设置为CA=true，或者在签名证书上设置密钥使用扩展以允许它对证书进行签名。

Answer 1

您可以让openssl x509使用"-extfile“命令读取特定的配置。

我建议您做一个新的配置，让它命名为foo.cnf。在里面放：

subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid:always,issuer:always
basicConstraints = CA:true

现在，运行您的命令与一个小的变化：

openssl x509 -req -in ipa.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -extfile foo.cnf -out ipa.pem

您现在应该有一个CA:true的证书。

Answer 2

1. 您应该首先创建配置文件。 tee ca.cnf <v3_ca subjectKeyIdentifier=hash authorityKeyIdentifier=keyid:always，发行人:永远 basicConstraints = CA:true EOF

1. 在使用选项签名时使用它

-extensions v3_ca -extfile ca.cnf

sudo openssl x509 -req -in ipa.csr -CA root.crt -CAkey root.key -CAcreateserial -extensions v3_ca -extfile ca.cnf -out ipa.crt

1. 检查 苏丹openssl x509 -text -noout -in ipa.crt