FreeIPA 외부 CA (중간 CA)

Question

우리는 기존 CA를 사용하여 Freeipa를 설치하고 있습니다. 설치하는 동안 CSR이 생성되며 CA에서 인증서를 작성하기 위해 서명해야합니다. CA :이 인증서는

X509v3 기본 제약 조건이 있어야합니다

지금은 약 한 시간 동안 연구 된 TRUE를 내가 무엇을해야하는지의 손실에 있어요. 일반적으로 CSR에 서명합니다.

openssl x509 -req -in ipa.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out ipa.pem 

이 작동하지만 CA : TRUE는 없습니다.

openssl x509 -req -in ipa.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -extensions v3_ca -out ipa.pem 

및 원래와 동일한 기능을 생성 : 제가 이렇게 시도했다.

생성 된 키가 내 openssl.cnf에서 정보를 가져 오는 것을 볼 수 있지만 아래 확장 문은 무시됩니다.

[ v3_ca ] 
subjectKeyIdentifier=hash 
authorityKeyIdentifier=keyid:always,issuer 
basicConstraints = CA:true 

내가해야 할 일이나 제공 할 수있는 추가 정보가있는 사람이 있습니까? 감사!

Sidenote : 나는 gui 또는 gui 도구가 없습니다.이 모든 것은 명령 줄에서 가져온 것입니다. CSR은 IPA 소프트웨어에 의해 생성되었으므로 수동으로 생성하지는 않습니다.

여기 IPA에서 메모입니다 :

는 CA 서명 인증서가 유효한 CA 인증서가 있어야 ID 관리 서버에 대해 생성. 이렇게하려면 기본 제약 조건을 CA = true로 설정하거나 인증서에 서명 할 수 있도록 서명 사용 인증서에 키 사용 확장 번호 을 설정해야합니다.

Answer 1

"-extfile"명령을 사용하여 openssl x509가 특정 구성을 읽을 수 있도록 할 수 있습니다.

새로운 설정을 제안하고 foo.cnf라는 이름을 지정하십시오. 그것은 내부 넣어 :

subjectKeyIdentifier=hash 
authorityKeyIdentifier=keyid:always,issuer:always 
basicConstraints = CA:true 

지금 작은 변화로 명령을 실행 : 사실 :

openssl x509 -req -in ipa.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -extfile foo.cnf -out ipa.pem 

이제 CA와 인증서가 있어야합니다.