gpt4 book ai didi

openssl - FreeIPA 外部 CA(中间 CA)

转载 作者:行者123 更新时间:2023-12-05 01:02:52 27 4
gpt4 key购买 nike

我们正在使用我们现有的 CA 进行 freeipa 安装。在安装过程中,会生成 CSR,并且必须由 CA 签名才能创建证书。这个证书必须有

X509v3 Basic Constraints: CA:TRUE



我已经研究了大约一个小时,我不知道该怎么做。通常,我会这样签署 CSR
openssl x509 -req -in ipa.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out ipa.pem

这有效,但 CA:TRUE 不存在。
我试过这样做:
openssl x509 -req -in ipa.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -extensions v3_ca -out ipa.pem

它生成了与原始相同的功能。

我可以看到生成的 key 从我的 openssl.cnf 中提取信息,但它忽略了下面的扩展语句。
[ v3_ca ]
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid:always,issuer
basicConstraints = CA:true

有没有人对我需要做什么有任何想法,或者我可以提供哪些额外信息?谢谢!

旁注:我没有 gui 或 gui 工具,这一切都来自命令行。 CSR 是由 IPA 软件生成的,我不是手动创建的。

这是 IPA 的注释:

The CA signing certificate generated for the Identity Management server must be a valid CA certificate. This requires either that the Basic Constraint be set to CA=true or that the Key Usage Extension be set on the signing certificate to allow it to sign certificates.

最佳答案

您可以使用“-extfile”命令使 openssl x509 读取特定配置。

我建议你做一个新的配置,让它命名为 foo.cnf。
里面放着:

subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid:always,issuer:always
basicConstraints = CA:true

现在只需稍作更改即可运行您的命令:
openssl x509 -req -in ipa.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -extfile foo.cnf -out ipa.pem

您现在应该拥有 CA:true 的证书。

关于openssl - FreeIPA 外部 CA(中间 CA),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/25614239/

27 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com