openssl - FreeIPA 中 CA 的私钥在哪里?
问题描述
我正在运行 FreeIPA,并希望将其用作内部证书颁发机构。
我注意到该ipa cert-request命令将签署一个 CSR(证书签名请求),这很好,除了它也创建了一个主体,我不希望这样。我更喜欢使用openssl x509 -req ...命令。
我了解该命令使用 CA 的证书和私钥openssl x509 -req ...签署 CSR 。我在 FreeIPA (in ) 中找到了 CA 的证书,但找不到私钥。有谁知道我在哪里可以找到这个?/etc/ipa/ca.crt
解决方案
为 FreeIPA 提交的用于签名的证书请求通过验证您颁发这些证书的权利的内部检查集。我们很早就做出的一个决定是,证书中的 Kerberos 主体 SAN 是我们可以强制执行的一件事,因此可以强制执行。
证书颁发机构不仅仅是使用 openssl 进行自签名。它还包括撤销列表维护,并且在不知道发布了什么以及如何发布的情况下,很难维护它。
您是否有任何特定理由颁发没有 Kerberos 主体的证书?请注意,您可以通过任何方式生成证书签名请求,然后直接通过“ipa cert-request”或 IPA Web UI 提交,而不是使用 certmonger 的工具。但是,此 CSR 仍需要通过验证。
推荐阅读
- typo3 - TYPO3 从子页面读取内容
- arrays - 在迭代第一个数组并通过匹配 iOS Swift 4 中的 ID 从第二个数组中获取相应数据时会消耗很长时间
- javascript - 导航按钮可见性
- jsp - 我想在JSP网页上爬取python图像数据
- python - 在同级目录中导入时遇到问题
- c - 操作数不兼容赋值
- php - 如何使用 Codeigniter 显示数据库列中特定字段的总数?
- python - 使用 Pandas read_csv 读取 CSV 文件时,parsers.pyx 错误
- javascript - 为什么 HTML Button 不能与 jQuery Webpack 一起使用
- css - 相对定位在带有块子元素的 chrome 中有效,但不适用于 inline-block 或 inline 子元素